Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción a AWS Security Hub CSPM
<a name="what-is-securityhub"></a>

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) le proporciona una visión completa del estado de su seguridad y le ayuda a evaluar su AWS entorno según los estándares AWS y las mejores prácticas del sector de la seguridad.

AWS Security Hub CSPM recopila datos de seguridad de todos Cuentas de AWS los productos de terceros compatibles y los ayuda a analizar las tendencias de seguridad e identificar los problemas de seguridad más prioritarios. Servicios de AWS

Para ayudar a administrar el estado de seguridad de la organización, el CSPM de Security Hub admite varios estándares de seguridad. Estos incluyen el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) desarrollado por el Center for Internet Security (CIS) AWS, el estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) y el Instituto Nacional de Estándares y Tecnología (NIST). Cada estándar incluye varios controles de seguridad, cada uno de los cuales representa una práctica de seguridad recomendada. El CSPM de Security Hub ejecuta comprobaciones basadas en controles de seguridad y genera resultados de control que ayudan a evaluar el cumplimiento con las prácticas recomendadas de seguridad.

Además de generar resultados de control, Security Hub CSPM también recibe hallazgos de otros productos Servicios de AWS(como Amazon, Amazon GuardDuty Inspector y Amazon Macie) y de productos de terceros compatibles. De este modo, podrá ver varios problemas relacionados con la seguridad en un único panel. También puede enviar los resultados del CSPM de Security Hub a otros Servicios de AWS y productos de terceros compatibles.

El CSPM de Security Hub ofrece características de automatización que ayudan a clasificar y remediar problemas de seguridad. Por ejemplo, puede usar reglas de automatización para actualizar automáticamente resultados críticos cuando un control de seguridad falla. También puedes aprovechar la integración con Amazon EventBridge para activar respuestas automáticas a hallazgos específicos.

**Topics**
+ [Beneficios del CSPM de Security Hub](#securityhub-benefits)
+ [Acceso al CSPM de Security Hub](#securityhub-get-started)
+ [Servicios relacionados](#securityhub-related-services)
+ [Prueba gratuita y precios del CSPM de Security Hub](#securityhub-free-trial)
+ [Terminología y conceptos del CSPM de Security Hub](securityhub-concepts.md)
+ [Habilitación del CSPM de Security Hub](securityhub-settingup.md)
+ [Administración de cuentas de administrador y de miembro en el CSPM de Security Hub](securityhub-accounts.md)
+ [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md)
+ [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md)
+ [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md)
+ [Comprensión de las integraciones en el CSPM de Security Hub](securityhub-findings-providers.md)
+ [Creación y actualización de resultados en el CSPM de Security Hub](securityhub-findings.md)
+ [Visualización de productos de información en el CSPM de Security Hub](securityhub-insights.md)
+ [Modificación automática de los resultados del CSPM de Security Hub y adopción de medidas al respecto](automations.md)
+ [Uso del panel en el CSPM de Security Hub](dashboard.md)
+ [Límites regionales del CSPM de Security Hub](securityhub-regions.md)
+ [Creación de recursos CSPM de Security Hub con CloudFormation](creating-resources-with-cloudformation.md)
+ [Suscripción a los anuncios del CSPM de Security Hub con Amazon SNS](securityhub-announcements.md)
+ [Cómo desactivar el CSPM de Security Hub](securityhub-disable.md)
+ [Seguridad en AWS Security Hub CSPM](security.md)
+ [Registrar llamadas a la API de Security Hub con CloudTrail](securityhub-ct.md)

## Beneficios del CSPM de Security Hub
<a name="securityhub-benefits"></a>

Estas son algunas de las formas clave en las que Security Hub CSPM le ayuda a supervisar el cumplimiento y la postura de seguridad en todo su AWS entorno.

**Reducción del esfuerzo para recopilar y priorizar los resultados**  
Security Hub CSPM reduce el esfuerzo de recopilar y priorizar los hallazgos de seguridad en las cuentas de los productos integrados Servicios de AWS y de AWS socios. Security Hub CSPM procesa la búsqueda de datos mediante el AWS Security Finding Format (ASFF), un formato de búsqueda estándar. Esto elimina la necesidad de administrar los resultados de numerosas fuentes en varios formatos. El CSPM de Security Hub también correlaciona resultados de distintos proveedores para ayudar a identificar y priorizar los más relevantes.

**Controles de seguridad automáticos respecto a las prácticas recomendadas y a los estándares**  
Security Hub CSPM ejecuta automáticamente comprobaciones continuas de configuración y seguridad a nivel de cuenta según las AWS mejores prácticas y los estándares del sector. El CSPM de Security Hub usa los resultados de estas comprobaciones para calcular las puntuaciones de seguridad e identificar las cuentas y los recursos que requieren atención.

**Vista consolidada de los resultados en cuentas y proveedores**  
El CSPM de Security Hub consolida los resultados de seguridad de las cuentas y de los productos de proveedores compatibles, y muestra los resultados en la consola del CSPM de Security Hub. También puede recuperar los resultados a través de la API CSPM de Security Hub AWS CLI, o. SDKs Con una visión integral del estado actual de su seguridad, puede detectar tendencias, identificar posibles problemas y tomar las medidas de corrección necesarias.

**Capacidad para automatizar la actualización y corrección de resultados**  
Puede crear reglas de automatización que modifiquen o supriman resultados en función de los criterios que haya definido. Security Hub CSPM también admite una integración con Amazon. EventBridge Para automatizar la corrección de resultados específicos, puede definir acciones personalizadas que se deben llevar a cabo cuando se genera un resultado. Por ejemplo, puede configurar acciones personalizadas para enviar resultados a un sistema de tickets o a un sistema de corrección automático.

## Acceso al CSPM de Security Hub
<a name="securityhub-get-started"></a>

Security Hub CSPM está disponible en la mayoría. Regiones de AWS Para obtener una lista de las regiones donde el CSPM de Security Hub está disponible actualmente, consulte [Puntos de conexión y cuotas del CSPM de AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) en la *Referencia general de AWS*. Para obtener información sobre la administración Regiones de AWS para usted Cuenta de AWS, consulte [Especificar qué Regiones de AWS cuenta puede usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) en la Guía de *AWS Account Management referencia*.

En cada región, puede acceder y utilizar el CSPM de Security Hub de cualquiera de las siguientes formas:

**Consola del CSPM de Security Hub**  
 Consola de administración de AWS Se trata de una interfaz basada en un navegador que puede utilizar para crear y gestionar AWS recursos. Como parte de esa consola, la consola del CSPM de Security Hub proporciona acceso a la cuenta, datos y recursos del CSPM de Security Hub. Puede realizar tareas del CSPM de Security Hub mediante la consola del CSPM de Security Hub: ver resultados, crear reglas de automatización, crear una región de agregación y otras acciones.

**API del CSPM de Security Hub**  
La API del CSPM de Security Hub proporciona acceso mediante programación a la cuenta, los datos y los recursos del CSPM de Security Hub. Con la API, puede enviar solicitudes HTTPS directamente al CSPM de Security Hub. Para obtener información sobre la API, consulte *[Referencia de la API de AWS Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*.

**AWS CLI**  
Con el AWS CLI, puede ejecutar comandos en la línea de comandos de su sistema para realizar tareas de CSPM de Security Hub. En algunos casos, el uso de la línea de comandos puede ser más rápido y cómodo que usar la consola. La línea de comandos también es útil si desea crear scripts que realicen tareas. Para obtener información sobre la instalación y el uso del AWS CLI, consulte la Guía del [AWS Command Line Interface usuario](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).

**AWS SDKs**  
AWS proporciona información SDKs que consta de bibliotecas y código de muestra para varios lenguajes de programación y plataformas, por ejemplo, Java, Go, Python, C\$1\$1 y.NET. SDKs Proporcionan un acceso cómodo y programático a Security Hub, CSPM y otros Servicios de AWS en el idioma que prefiera. También permiten realizar tareas como firmar solicitudes criptográficamente, administrar errores y reintentar solicitudes automáticamente. Para obtener información sobre la instalación y el uso de AWS SDKs, consulte [Herramientas sobre las que basarse](https://aws.amazon.com/developertools/). AWS

**importante**  
El CSPM de Security Hub solo detecta y consolida resultados generados después de habilitar el CSPM de Security Hub. No detecta ni consolida de manera retroactiva los resultados generados antes de habilitar el CSPM de Security Hub.  
El CSPM de Security Hub solo recibe y procesa resultados en la región donde lo haya habilitado en la cuenta.  
Para cumplir plenamente con las comprobaciones de seguridad de CIS AWS Foundations Benchmark, debe habilitar Security Hub CSPM en todas las regiones compatibles AWS .

## Servicios relacionados
<a name="securityhub-related-services"></a>

Para proteger aún más su AWS entorno, considere la posibilidad de utilizar otros Servicios de AWS en combinación con Security Hub CSPM. Algunos Servicios de AWS envían sus hallazgos al Security Hub CSPM, y Security Hub CSPM normaliza los hallazgos en un formato estándar. Algunos también Servicios de AWS pueden recibir las conclusiones del Security Hub CSPM.

Para obtener una lista de otros Servicios de AWS que envían o reciben las conclusiones del CSPM de Security Hub, consulte. [Servicio de AWS integraciones con Security Hub CSPM](securityhub-internal-providers.md)

Security Hub CSPM utiliza reglas vinculadas a servicios AWS Config para ejecutar comprobaciones de seguridad en la mayoría de los controles. Los controles se refieren a recursos específicos. Servicios de AWS AWS Para obtener una lista de los controles del CSPM de Security Hub, consulte [Referencia de controles para el CSPM de Security Hub](securityhub-controls-reference.md). Debe habilitar AWS Config y registrar los recursos AWS Config para que Security Hub CSPM genere la mayoría de las conclusiones de control. Para obtener más información, consulte [Consideraciones antes de habilitar y configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

## Prueba gratuita y precios del CSPM de Security Hub
<a name="securityhub-free-trial"></a>

Al activar Security Hub CSPM en un Cuenta de AWS por primera vez, esa cuenta se inscribe automáticamente en una prueba gratuita de 30 días de Security Hub CSPM.

Cuando utilice Security Hub CSPM durante la prueba gratuita, se le cobrará por el uso de otros servicios con los que interactúa Security Hub CSPM, como los artículos. AWS Config No se le cobrará por AWS Config las reglas que se activen únicamente según los estándares de seguridad CSPM de Security Hub.

No se cobra por usar el CSPM de Security Hub hasta que finaliza el periodo de prueba gratuito.

### Visualización de los detalles de uso
<a name="usage-details"></a>

Security Hub CSPM proporciona información de uso, incluida la cantidad de comprobaciones de seguridad y hallazgos procesados por su cuenta. Los detalles de uso también incluyen el tiempo restante de la prueba gratuita. Esta información puede ayudarle a entender el uso de CSPM de Security Hub una vez que finalice la prueba gratuita. La información de uso también está disponible una vez finalizada la prueba gratuita.

**Cómo mostrar la información de uso (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Uso** en **Configuración**.

La información de uso es únicamente para la cuenta corriente y la región actuales. En una región de agregación, la información de uso no incluye las regiones vinculadas. Para obtener más información acerca de las regiones vinculadas, consulte [Tipos de datos que se agregan](finding-aggregation.md#finding-aggregation-overview).

Para ver los detalles de los costos de su cuenta, use la [consola AWS de facturación](https://console.aws.amazon.com/billing/).

### Información sobre precios
<a name="pricing-details"></a>

Para obtener más información sobre cómo el CSPM de Security Hub cobra por los resultados ingeridos y por las comprobaciones de seguridad, consulte [Precios del CSPM de Security Hub](https://aws.amazon.com/security-hub/pricing/).

# Terminología y conceptos del CSPM de Security Hub
<a name="securityhub-concepts"></a>

En AWS Security Hub CSPM, nos basamos en AWS conceptos y terminología comunes y utilizamos estos términos adicionales.

**Cuenta**  
Una cuenta estándar de Amazon Web Services (AWS) que contiene tus AWS recursos. Puedes iniciar sesión AWS con tu cuenta y activar Security Hub CSPM.  
Una cuenta puede invitar a otras cuentas a habilitar el CSPM de Security Hub y a asociarse a ella dentro del CSPM de Security Hub. La aceptación de una invitación de suscripción es opcional. Si las invitaciones se aceptan, la cuenta se convierte en la cuenta de administrador, mientras que las cuentas añadidas se convierten en cuentas miembro. Las cuentas de administrador pueden ver los resultados de sus cuentas miembro.  
Si está inscrito AWS Organizations, su organización designa una cuenta de administrador CSPM de Security Hub para la organización. La cuenta de administrador del CSPM de Security Hub puede habilitar otras cuentas de la organización como cuentas de miembro.  
Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo. Una cuenta solo puede tener una cuenta de administrador.  
Para obtener más información, consulte [Administración de cuentas de administrador y de miembro en el CSPM de Security Hub](securityhub-accounts.md).

**Cuenta de administrador**  
Una cuenta del CSPM de Security Hub a la que se le concede acceso para ver los resultados de las cuentas de miembro asociadas.  
Una cuenta se convierte en cuenta de administrador de las siguientes formas:  
+ La cuenta invita a otras cuentas a asociarse a ella en el CSPM de Security Hub. Cuando esas cuentas aceptan la invitación, pasan a ser cuentas miembro y la cuenta que las ha invitado se convierte en su cuenta de administrador.
+ Una cuenta de administración de la organización designa la cuenta como cuenta de administrador del CSPM de Security Hub. La cuenta de administrador del CSPM de Security Hub puede habilitar cualquier cuenta de la organización como cuenta de miembro y también puede invitar a otras cuentas para que se conviertan en cuentas de miembro.
Una cuenta solo puede tener una cuenta de administrador. Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo.

**Región de agregación**  
La configuración de una región de agregación le permite ver los hallazgos de seguridad desde varios puntos de vista Regiones de AWS en un solo panel.   
La región de agregación es la región desde la que se visualizan y administran los resultados. Los resultados se agregan a la región de agregación desde las regiones vinculadas. Las actualizaciones de los resultados se reproducen en todas las regiones.  
En la región de agregación, las páginas de **Estándares de seguridad**, **Información** y **Resultados** contienen datos de todas las regiones vinculadas.  
Para obtener más información, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

**Resultado archivado**  
Un resultado cuyo estado de registro (`RecordState`) es `ARCHIVED`. Archivar un resultado indica que el proveedor del mismo cree que dicho resultado ya no es relevante. El estado de registro es distinto del estado del flujo de trabajo, que realiza un seguimiento del estado de la investigación de un resultado.  
Los proveedores de resultados pueden usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub para archivar los resultados que creen. El CSPM de Security Hub archiva de forma automática los resultados de controles que cumplan ciertos criterios. Para obtener más información, consulte [Generación, actualización y archivado de resultados de control](controls-findings-create-update.md#securityhub-standards-results-updating).  
En la consola del CSPM de Security Hub, los filtros predeterminados excluyen los resultados archivados de las listas y tablas de resultados. Puede actualizar la configuración para incluir los resultados archivados. Si recupera resultados mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) de la API del CSPM de Security Hub, la operación recupera tanto los resultados archivados como los activos. Para excluir resultados archivados, puede filtrar los resultados. Por ejemplo:  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Formato de búsqueda de seguridad (ASFF)**  
Un formato estandarizado para el contenido de los resultados que el CSPM de Security Hub agrega o genera. El formato AWS Security Finding le permite utilizar Security Hub CSPM para ver y analizar los hallazgos generados por los servicios de seguridad, las soluciones de terceros o el propio AWS Security Hub CSPM a partir de la ejecución de comprobaciones de seguridad. Para obtener más información, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

**Controlar**  
Una salvaguardia o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos. Un estándar de seguridad está asociado a un conjunto de controles.  
El término *control de seguridad* se refiere a los controles que tienen un ID y un título de control únicos en todos los estándares. El término *control estándar* se refiere a los controles que tienen controles y títulos específicos de un estándar. IDs Actualmente, el CSPM de Security Hub admite controles estándar únicamente en las regiones de China y AWS GovCloud (US) Regions. Los controles de seguridad son compatibles en todas las demás regiones.

**Acción personalizada**  
Un mecanismo CSPM de Security Hub al que enviar los hallazgos seleccionados. EventBridge Se crea una acción personalizada en el CSPM de Security Hub. Luego se vincula a una EventBridge regla. La regla define una acción específica que se debe realizar cuando se recibe un resultado asociado al ID de la acción personalizada. Las acciones personalizadas se pueden utilizar, por ejemplo, para enviar un resultado específico o un pequeño conjunto de resultados a un flujo de trabajo de respuesta o corrección. Para obtener más información, consulte [Crear una acción personalizada](securityhub-cwe-configure.md).

**Cuenta de administrador delegado (Organizations)**  
En AWS Organizations, la cuenta de administrador delegado de un servicio puede gestionar el uso de un servicio para la organización.  
En el CSPM de Security Hub, la cuenta de administrador del CSPM de Security Hub también es la cuenta de administrador delegado para el CSPM de Security Hub. Cuando la cuenta de administración de la organización designa por primera vez una cuenta como administrador del CSPM de Security Hub, el CSPM de Security Hub solicita a Organizations que convierta esa cuenta en el administrador delegado.  
La cuenta de administración de la organización debe elegir la cuenta de administrador delegado como la cuenta de administrador del CSPM de Security Hub en todas las regiones.

**Resultado**  
El registro observable de un control de seguridad o una detección relacionada con la seguridad. El CSPM de Security Hub genera y actualiza resultados de control después de completar las comprobaciones de seguridad. A estos se les denomina *resultados de control*. Los resultados también pueden provenir de integraciones con productos de otros fabricantes Servicios de AWS y de terceros.  
Para obtener más información, consulte [Creación y actualización de resultados en el CSPM de Security Hub](securityhub-findings.md).

**Agregación entre regiones**  
La agregación de resultados, información, estados de conformidad de los controles y puntuaciones de seguridad de las regiones vinculadas a una región de agregación. A continuación, puede ver todos los datos de la región de agregación y actualizar los resultados y la información de la región de agregación.  
Para obtener más información, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

**Ingesta de resultados**  
La importación de los resultados a Security Hub CSPM desde otros AWS servicios y desde proveedores asociados externos.  
Los eventos de ingesta de resultados incluyen tanto resultados nuevos como actualizaciones de resultados existentes.

**Información**  
Una recopilación de resultados relacionados definida por una instrucción de agregación y filtros opcionales. Una información identifica un área de seguridad que requiere atención e intervención. El CSPM de Security Hub ofrece varias informaciones (predeterminadas) administradas que no se pueden modificar. También puede crear información CSPM personalizada de Security Hub para realizar un seguimiento de los problemas de seguridad que son exclusivos de su AWS entorno y uso. Para obtener más información, consulte [Visualización de productos de información en el CSPM de Security Hub](securityhub-insights.md).

**Región vinculada**  
Al habilitar la agregación entre regiones, una región vinculada es una región que agrega resultados, información, estados de conformidad de controles y puntuaciones de seguridad a la región de agregación.  
En una región vinculada, las páginas de **Resultados** e **información** contienen únicamente resultados de esa región.  
Para obtener más información, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

**Cuenta miembro**  
Una cuenta que ha concedido permiso a una cuenta de administrador para ver sus resultados y tomar medidas al respecto.  
Una cuenta se convierte en cuenta miembro de las siguientes formas:  
+ La cuenta acepta una invitación de otra cuenta.
+ En el caso de una cuenta de la organización, la cuenta de administrador del CSPM de Security Hub la habilita como cuenta de miembro.

**Requisitos relacionados**  
Un conjunto de requisitos reglamentarios o del sector asignados a un control.

**Regla**  
Un conjunto de criterios automatizados que se utiliza para evaluar si se cumple un control. Cuando se evalúa una regla, puede superarse o devolver un error. Si la evaluación no puede determinar si la regla se supera o devuelve un error, la regla se encuentra en un estado de advertencia. Si la regla no se puede evaluar, está en un estado no disponible.

**Control de seguridad**  
Una point-in-time evaluación específica de una regla con respecto a un único recurso que resulta en un`PASSED`, `FAILED``WARNING`, o `NOT_AVAILABLE` estado. La ejecución de un control de seguridad produce un resultado.

**Cuenta de administrador del CSPM de Security Hub**  
Una cuenta de la organización que administra la membresía de una organización al CSPM de Security Hub.  
La cuenta de administración de la organización designa la cuenta de administrador del CSPM de Security Hub de cada región. La cuenta de administración de la organización debe elegir la misma cuenta de administrador del CSPM de Security Hub en todas las regiones.  
La cuenta de administrador del CSPM de Security Hub también es la cuenta de administrador delegado del CSPM de Security Hub en Organizations.  
La cuenta de administrador del CSPM de Security Hub puede habilitar cualquier cuenta de la organización como cuenta de miembro. La cuenta de administrador del CSPM de Security Hub también puede invitar a otras cuentas a convertirse en cuentas de miembro.

**Estándar de seguridad**  
Una instrucción publicada sobre un tema que especifica las características, normalmente medibles y en forma de controles, que deben cumplirse o lograrse para fines de conformidad. Los estándares de seguridad pueden basarse en marcos normativos, prácticas recomendadas o políticas internas de la empresa. Un control puede estar asociado a uno o más estándares compatibles en el CSPM de Security Hub. Para obtener más información sobre los estándares de seguridad en el CSPM de Security Hub, consulte [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md).

**Gravedad**  
La gravedad asignada a un control del CSPM de Security Hub indica el nivel de importancia que tiene ese control. La gravedad de un control puede ser **Crítica**, **Alta**, **Media**, **Baja** o **Informativa**. La gravedad asignada a los resultados del control es igual a la gravedad del propio control. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad de un control, consulte [Niveles de gravedad correspondientes a los resultados de control](controls-findings-create-update.md#control-findings-severity).

**Estado del flujo de trabajo**  
El estado de una investigación sobre un resultado. Para realizar un seguimiento de esto, se utiliza el atributo `Workflow.Status`.  
El estado del flujo de trabajo es inicialmente `NEW`. Si ha notificado al propietario del recurso que tome medidas sobre el resultado, puede establecer el estado del flujo de trabajo en `NOTIFIED`. Si el resultado no es un problema y no requiere ninguna acción, establezca el estado del flujo de trabajo en `SUPPRESSED`. Después de revisar y corregir un resultado, establezca el estado del flujo de trabajo en `RESOLVED`.  
De forma predeterminada, la mayoría de las listas de resultados solo incluyen resultados con un estado de flujo de trabajo de `NEW` o `NOTIFIED`. Las listas de resultados para los controles también incluyen resultados `RESOLVED`.  
Para la operación de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html), puede incluir un filtro para el estado del flujo de trabajo.  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
La consola del CSPM de Security Hub proporciona una opción para establecer el estado del flujo de trabajo de los resultados. Los clientes (o herramientas SOAR, de SIEM, de venta de tickets, de administración de incidentes que trabajan en nombre de un cliente para actualizar resultados de los proveedores de resultados) también pueden utilizar [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) para actualizar el estado del flujo de trabajo.

# Habilitación del CSPM de Security Hub
<a name="securityhub-settingup"></a>

Hay dos formas de habilitar el CSPM de AWS Security Hub: integrándolo con AWS Organizations o manualmente.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar el CSPM de Security Hub manualmente.

## Verificación de los permisos necesarios
<a name="securityhub-setup-permissions"></a>

Después de registrarse en Amazon Web Services (AWS), debe habilitar el CSPM de Security Hub para usar sus capacidades y características. Para habilitar el CSPM de Security Hub, primero debe configurar permisos que permitan acceder a la consola y a las operaciones de la API del CSPM de Security Hub. Usted o su AWS administrador pueden hacerlo mediante AWS Identity and Access Management (IAM) para adjuntar la política AWS gestionada llamada `AWSSecurityHubFullAccess` a su identidad de IAM.

Para habilitar y administrar Security Hub CSPM a través de la integración de Organizations, también debe adjuntar la política AWS administrada denominada. `AWSSecurityHubOrganizationsAccess`

Para obtener más información, consulte [AWS políticas gestionadas para Security Hub](security-iam-awsmanpol.md).

## Habilitación del CSPM de Security Hub con la integración de Organizations
<a name="securityhub-orgs-setup-overview"></a>

Para empezar a usar Security Hub CSPM con AWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador de CSPM de Security Hub delegada para la organización. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegada en la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

------
#### [ Security Hub CSPM console ]

**Para designar al administrador delegado del CSPM de Security Hub durante el proceso de incorporación**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir al CSPM de Security Hub**. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

1. En la página **Designar administrador delegado**, en la sección **Cuenta de administrador delegado**, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

1. Elija **Establecer administrador delegado**.

------
#### [ Security Hub CSPM API ]

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

------
#### [ AWS CLI ]

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

**Comando de ejemplo:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Para obtener más información acerca de la integración con Organizations, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

### Configuración centralizada
<a name="securityhub-central-config"></a>

Cuando integra el CSPM de Security Hub con Organizations, tiene la opción de usar una característica llamada [configuración centralizada](central-configuration-intro.md) para configurar y administrar el CSPM de Security Hub para la organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración central permite al administrador delegado configurar Security Hub CSPM en todas las cuentas, y OUs. Regiones de AWS El administrador delegado configura el CSPM de Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:
+ Si se habilita o desactiva el CSPM de Security Hub
+ Los estándares de seguridad que se habilitan y deshabilitan
+ Los controles de seguridad que se habilitan y deshabilitan
+ Si se deben personalizar los parámetros de los controles seleccionados

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para sus distintas cuentas y. OUs Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros OUs que utilizan una política de configuración se *administran de forma centralizada* y solo el administrador delegado puede configurarlas. El administrador delegado puede designar cuentas de miembros específicas y OUs *autoadministrarlas* para que el miembro pueda configurar sus propios ajustes de forma específica. Region-by-Region

Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina [configuración local](local-configuration.md). En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

## Habilitación manual del CSPM de Security Hub
<a name="securityhub-manual-setup-overview"></a>

Debe habilitar el CSPM de Security Hub manualmente si tiene una cuenta independiente o si no se integra con ella. AWS Organizations Las cuentas independientes no se pueden integrar con la activación manual AWS Organizations y deben utilizarla.

Al habilitar el CSPM de Security Hub manualmente, designa una cuenta de administrador de este servicio e invita a otras cuentas a convertirse en cuentas de miembro. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub. Al habilitar el CSPM de Security Hub desde la consola, también tiene la opción de habilitar los estándares de seguridad admitidos.

------
#### [ Security Hub CSPM console ]

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Al abrir la consola del CSPM de Security Hub por primera vez, seleccione **Ir al CSPM de Security Hub**.

1. En la página de bienvenida, la sección **Estándares de seguridad** enumera los estándares de seguridad que el CSPM de Security Hub admite.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener más información sobre cómo administrar los estándares de seguridad, consulte [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md).

1. Seleccione **Habilitar Security Hub**.

------
#### [ Security Hub CSPM API ]

Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html). Al habilitar el CSPM de Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:
+ AWS Mejores prácticas fundamentales de seguridad
+ Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

Si no deseas habilitar estos estándares, establece `EnableDefaultStandards` como `false`.

También puede usar el parámetro `Tags` para asignar valores de etiqueta al recurso del hub.

------
#### [ AWS CLI ]

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Para habilitar los estándares predeterminados, incluya `--enable-default-standards`. Para no habilitar los estándares predeterminados, incluya `--no-enable-default-standards`. Los estándares de seguridad predeterminados son los siguientes:
+ AWS Mejores prácticas fundamentales de seguridad
+ Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Ejemplo**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script de habilitación de múltiples cuentas
<a name="securityhub-enable-multiaccount-script"></a>

**nota**  
En lugar de este script, se recomienda utilizar la configuración centralizada para habilitar y configurar el CSPM de Security Hub en varias cuentas y regiones. 

El [script de activación de múltiples cuentas de Security Hub CSPM GitHub le permite habilitar Security Hub CSPM en](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) todas las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script permite registrar automáticamente los recursos de todos los AWS Config recursos, incluidos los globales, en todas las regiones. No limita el registro de recursos globales a una única región. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta debe ser la región de origen. Para obtener más información, consulte [Registrar los recursos en AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Existe un script correspondiente que permite desactivar el CSPM de Security Hub en las cuentas y regiones.

## Próximos pasos: gestión de la posición e integraciones
<a name="securityhub-enable-next-steps"></a>

Después de habilitar el CSPM de Security Hub, recomendamos habilitar estándares y controles de seguridad para supervisar la posición de seguridad. Después de habilitar los controles, Security Hub CSPM comienza a ejecutar comprobaciones de seguridad y a generar resultados de control que le ayudan a detectar errores de configuración en su entorno. AWS Para recibir los resultados de control, debe habilitar y configurar AWS Config Security Hub CSPM. Para obtener más información, consulte [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

Tras activar Security Hub CSPM, también puede aprovechar las integraciones entre Security Hub CSPM y soluciones de otros fabricantes para ver sus Servicios de AWS resultados en Security Hub CSPM. El CSPM de Security Hub consolida resultados provenientes de distintos orígenes y los ingiere en un formato coherente. Para obtener más información, consulte [Comprensión de las integraciones en el CSPM de Security Hub](securityhub-findings-providers.md). 

# Habilitación y configuración AWS Config de Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM utiliza AWS Config reglas para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Utiliza reglas para definir una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso incumple las condiciones de una regla.

Algunas reglas, denominadas reglas AWS Config administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son AWS Config reglas personalizadas que desarrolla Security Hub CSPM. AWS Config las reglas que Security Hub CSPM utiliza para los controles se denominan reglas vinculadas a *servicios*. Las reglas vinculadas a servicios permiten Servicios de AWS , como Security Hub (CSPM), crear AWS Config reglas en tu cuenta. 

Para recibir los resultados de control en Security Hub CSPM, debe habilitarlo AWS Config para su cuenta. También debe activar el registro de recursos para los tipos de recursos que los controles habilitados evalúan. A continuación, Security Hub (CSPM) puede crear las AWS Config reglas adecuadas para los controles y empezar a ejecutar comprobaciones de seguridad y generar resultados para los controles.

**Topics**
+ [Consideraciones antes de habilitar y configurar AWS Config](#securityhub-prereq-config)
+ [Registrar los recursos en AWS Config](#config-resource-recording)
+ [Formas de habilitar y configurar AWS Config](#config-how-to-enable)
+ [Comprensión del control Config.1](#config-1-overview)
+ [Generación de reglas vinculadas al servicio](#securityhub-standards-generate-awsconfigrules)
+ [Consideraciones sobre costos](#config-cost-considerations)

## Consideraciones antes de habilitar y configurar AWS Config
<a name="securityhub-prereq-config"></a>

Para recibir los resultados de control en Security Hub CSPM, AWS Config debe estar habilitado en su cuenta en todos los Región de AWS lugares en los que Security Hub CSPM esté habilitado. Si utiliza el CSPM de Security Hub en un entorno de varias cuentas, AWS Config debe estar habilitado en cada región tanto para la cuenta de administrador como para todas las cuentas de miembro.

Le recomendamos encarecidamente que active el registro de recursos AWS Config *antes* de activar los estándares y controles CSPM de Security Hub. Esto ayuda a garantizar que los resultados de control sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada a la grabadora de configuración. Además, asegúrese de que ninguna política o AWS Organizations política de IAM le AWS Config impida tener permiso para registrar sus recursos. Los controles CSPM de Security Hub evalúan las configuraciones de los recursos directamente y no tienen en cuenta AWS Organizations las políticas. Para obtener más información sobre el registro de AWS Config , consulte [Utilización del registrador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la *Guía para desarrolladores de AWS Config *.

Si habilita un estándar en el CSPM de Security Hub pero no lo ha habilitado AWS Config, el CSPM de Security Hub intentará crear AWS Config reglas vinculadas a servicios de acuerdo con la siguiente programación:
+ El día en que habilite el estándar.
+ El día después de habilitar el estándar.
+ Tres días después de habilitar el estándar.
+ Siete días después de habilitar el estándar, y luego cada siete días de forma continua.

Si utiliza la configuración central, el Security Hub CSPM también intenta crear AWS Config reglas vinculadas a servicios cada vez que asocia una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

## Registrar los recursos en AWS Config
<a name="config-resource-recording"></a>

Al habilitarla AWS Config, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el registrador de configuración permite que el CSPM de Security Hub detecte cambios en las configuraciones de los recursos.

Para que el CSPM de Security Hub genere resultados de control precisos, debe activar el registro en AWS Config para los tipos de recursos que corresponden a los controles habilitados. Principalmente son los controles habilitados con un tipo de programación *activada por cambios* los que requieren registro de recursos. Algunos controles con un tipo de programación *periódica* también requieren registro de recursos. Para obtener la lista de estos controles y sus recursos correspondientes, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md).

**aviso**  
Si no configura la AWS Config grabación correctamente para los controles CSPM de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:  
Nunca registró el recurso para un control determinado, o desactivó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibe un resultado `WARNING` para el control correspondiente, incluso si creó recursos dentro del alcance del control después de haber desactivado el registro. Este resultado `WARNING` es un resultado predeterminado que no evalúa realmente el estado de configuración del recurso.
Desactiva el registro para un recurso que es evaluado por un control determinado. En este caso, el CSPM de Security Hub retiene los resultados de control generados antes de que desactivara el registro, aún cuando el control ya no evalúe recursos nuevos o actualizados. El CSPM de Security Hub también cambia el estado de cumplimiento de los resultados a `WARNING`. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los *recursos regionales* compatibles que descubre Región de AWS en los que se está ejecutando. Para recibir todos los resultados de control de CSPM de Security Hub, también debe configurarlo AWS Config para registrar los recursos *globales*. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta región debe ser la región de origen.

En AWS Config, puede elegir entre el *registro continuo o el registro* *diario* de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados del CSPM de Security Hub para los controles activados por cambios hasta que finalice el periodo completo de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte [Grabación de AWS recursos en la Guía para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) *desarrolladores*.

## Formas de habilitar y configurar AWS Config
<a name="config-how-to-enable"></a>

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:
+ **AWS Config consola**: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte [Configuración AWS Config con la consola](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) en la *Guía para AWS Config desarrolladores*.
+ **AWS CLI o bien SDKs**: puede habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte [Configuración AWS Config con el AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) en la *Guía para AWS Config desarrolladores*. AWS Los kits de desarrollo de software (SDKs) también están disponibles para muchos lenguajes de programación.
+ **CloudFormation plantilla**: AWS Config para habilitarla en varias cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada **Enable AWS Config**. Para acceder a esta plantilla, consulte [las plantillas AWS CloudFormation StackSet de muestra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) en la *Guía del AWS CloudFormation usuario*.

  De forma predeterminada, esta plantilla excluye el registro de los recursos globales de IAM. Asegúrese de habilitar el registro de los recursos globales de IAM en una sola Región de AWS para optimizar los costos de registro. Si tiene habilitada la agregación entre regiones, esta debe ser la [Región de origen del CSPM de Security Hub](finding-aggregation.md). De lo contrario, puede ser cualquier región en la que el CSPM de Security Hub esté disponible y que admita el registro de los recursos globales de IAM. Recomendamos ejecutar una StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, de la región de origen o de otra región seleccionada. A continuación, ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de IAM en otras regiones.
+ **GitHub script**: Security Hub CSPM ofrece un [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) que habilita Security Hub CSPM y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado en una organización AWS Organizations o tienes algunas cuentas de miembros que no forman parte de ella.

Para obtener más información, consulte la siguiente entrada del blog de *AWS seguridad*: [Optimice AWS Config for AWS Security Hub CSPM para gestionar eficazmente su postura de seguridad en la nube](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Comprensión del control Config.1
<a name="config-1-overview"></a>

En Security Hub CSPM, el control [Config.1](config-controls.md#config-1) genera `FAILED` resultados en su cuenta si está deshabilitado. AWS Config También genera `FAILED` resultados en tu cuenta si AWS Config está activado, pero el registro de recursos no está activado. 

Si AWS Config está habilitado y el registro de recursos está activado, pero el registro de recursos no está activado para un tipo de recurso que comprueba un control habilitado, Security Hub CSPM genera una `FAILED` búsqueda para el control Config.1. Además de este resultado `FAILED`, el CSPM de Security Hub genera resultados `WARNING` para el control habilitado y para los tipos de recursos que dicho control verifica. Por ejemplo, si habilita el control [KMS.5](kms-controls.md#kms-5) y el registro de recursos no está activado AWS KMS keys, Security Hub CSPM generará una `FAILED` búsqueda para el control Config.1. El CSPM de Security Hub también genera resultados `WARNING` para el control KMS.5 y para las claves de KMS.

Para recibir un resultado `PASSED` para el control Config.1, habilite el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. Desactive también los controles que no necesita en la organización. Esto ayuda a garantizar que no existan vacíos de configuración en las comprobaciones de controles de seguridad. También ayuda a asegurarse de que reciba resultados precisos sobre recursos mal configurados.

Si es el administrador delegado del CSPM de Security Hub para una organización, el registro de AWS Config debe estar configurado correctamente para la cuenta y para las cuentas de miembro. Si utiliza la agregación entre regiones, la AWS Config grabación debe estar configurada correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

## Generación de reglas vinculadas al servicio
<a name="securityhub-standards-generate-awsconfigrules"></a>

Para cada control que utilice una AWS Config regla vinculada a un servicio, Security Hub CSPM crea instancias de la regla requerida en su entorno. AWS 

Estas reglas vinculadas al servicio son exclusivas del CSPM de Security Hub. El CSPM de Security Hub crea estas reglas vinculadas al servicio incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio agrega `securityhub` antes del nombre original de la regla y un identificador único después del nombre. Por ejemplo, para la regla AWS Config administrada, el nombre de la regla `vpc-flow-logs-enabled` vinculada al servicio podría ser. `securityhub-vpc-flow-logs-enabled-12345`

Hay cuotas para el número de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config las reglas que crea Security Hub CSPM no se tienen en cuenta para esas cuotas. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado la AWS Config cuota de reglas administradas en tu cuenta. Para obtener más información sobre las cuotas de AWS Config las reglas, consulta [los límites de servicio AWS Config en la Guía para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) *desarrolladores*.

## Consideraciones sobre costos
<a name="config-cost-considerations"></a>

El CSPM de Security Hub puede afectar a los costes de AWS Config la grabadora de configuración al actualizar el elemento de `AWS::Config::ResourceCompliance` configuración. Las actualizaciones se pueden producir cada vez que un control CSPM de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza los parámetros. Si utiliza la grabadora de AWS Config configuración solo para el Security Hub CSPM y no utiliza este elemento de configuración para otros fines, le recomendamos que desactive la grabación. AWS Config Esto puede reducir sus costos de AWS Config . No es necesario registrar `AWS::Config::ResourceCompliance` para que las comprobaciones de seguridad funcionen en el CSPM de Security Hub.

Para obtener información sobre los costos asociados al registro de recursos, consulte [Precios del CSPM de AWS Security Hub](https://aws.amazon.com/security-hub/pricing/) y [Precios de AWS Config](https://aws.amazon.com/config/pricing/).

# Descripción de la configuración local en el CSPM de Security Hub
<a name="local-configuration"></a>

La configuración local es la forma predeterminada en que se configura una AWS organización en Security Hub CSPM. Si no opta por la configuración centralizada ni la habilita, su organización utilizará la configuración local de forma predeterminada.

Al utilizar la configuración local, la cuenta de administrador delegado del CSPM de Security Hub tiene control limitado sobre los ajustes de configuración. El administrador delegado solo puede aplicar dos configuraciones: habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas nuevas de la organización. Estos ajustes solo se aplican en la región en la que designó la cuenta de administrador delegado. Los estándares de seguridad predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Los ajustes de configuración local no se aplican a las cuentas de la organización existentes ni a regiones distintas de aquella en la que se designó la cuenta de administrador delegado.

Aunque puede habilitar el CSPM de Security Hub y los estándares predeterminados para las nuevas cuentas de la organización en una sola región, el resto de la configuración del CSPM de Security Hub, incluidos los estándares y los controles, se debe realizar de forma independiente en cada región y en cada cuenta. Dado que este proceso puede duplicarse, le recomendamos que utilice la configuración centralizada para un entorno de varias cuentas si se presentan una o más de las siguientes situaciones:
+ Quiere establecer distintos ajustes para las distintas partes de la organización (por ejemplo, distintos estándares o controles habilitados para los diferentes equipos).
+ Trabaja en varias regiones y desea reducir el tiempo y la complejidad de la configuración del servicio en esas regiones.
+ Desea que las cuentas nuevas usen ajustes específicos cuando se unan a la organización.
+ Desea que las cuentas de la organización hereden ajustes específicos de una cuenta principal o raíz.

Para obtener información acerca de la configuración centralizada, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

# Descripción de la configuración central en el CSPM de Security Hub
<a name="central-configuration-intro"></a>

La configuración central es una función CSPM del AWS Security Hub que le ayuda a configurar y administrar el Security Hub CSPM en múltiples y. Cuentas de AWS Regiones de AWS Para utilizar la configuración central, primero debe integrar Security Hub CSPM y. AWS Organizations Para integrar los servicios, puede crear una organización y designar una cuenta de administrador delegado del CSPM de Security Hub para la organización.

Desde la cuenta de administrador CSPM de Security Hub delegada, puede habilitar Security Hub CSPM para las cuentas y unidades organizativas () de su organización en todas las regiones. OUs También puede activar, configurar y deshabilitar los estándares de seguridad y los controles de seguridad individuales para las cuentas y las distintas regiones. OUs Puede configurar estos ajustes en tan solo unos pasos desde una región principal, denominada *región de origen*.

Al utilizar la configuración central, el administrador delegado puede elegir qué cuentas desea OUs configurar. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como *autoadministrada*, el miembro puede configurar sus propios ajustes por separado en cada región. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como *administrada de forma centralizada*, solo el administrador delegado puede configurar la cuenta de miembro o la unidad organizativa en todas las regiones. Puede designar todas las cuentas de su organización como administradas de forma centralizada, todas autogestionadas o como una combinación de ambas. OUs 

Para configurar las cuentas administradas de forma centralizada, el administrador delegado utiliza las políticas de configuración del CSPM de Security Hub. Las políticas de configuración permiten al administrador delegado especificar si el CSPM de Security Hub está habilitado o desactivado, así como determinar qué estándares y controles están habilitados o desactivados. También se pueden utilizar para personalizar los parámetros de determinados controles.

Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. El administrador delegado especifica la región de origen de la organización y las regiones vinculadas antes de empezar a utilizar la configuración centralizada. La especificación de las regiones vinculadas es opcional. El administrador delegado puede crear una política de configuración única para toda la organización o crear varias políticas de configuración para configurar ajustes variables para diferentes cuentas y. OUs

**sugerencia**  
Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina *configuración local*. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

En esta sección, se proporciona información general acerca de la configuración centralizada.

## Beneficios de usar la configuración centralizada
<a name="central-configuration-benefits"></a>

Entre los beneficios de la configuración centralizada, se incluyen los siguientes:

**Simplificación de la configuración del servicio y las capacidades del CSPM de Security Hub**  
Cuando utiliza la configuración centralizada, el CSPM de Security Hub proporciona una guía para configurar las prácticas recomendadas de seguridad en la organización. También implementa las políticas de configuración resultantes en cuentas específicas y de forma automática. OUs Si ya cuenta con configuraciones existentes del CSPM de Security Hub, como habilitar automáticamente nuevos controles de seguridad, puede utilizarlas como punto de partida para las políticas de configuración. Además, la página de **configuración** de la consola CSPM de Security Hub muestra un resumen en tiempo real de las políticas de configuración y de las cuentas que OUs utilizan cada política.

**Configuración en todas las cuentas y regiones**  
Puede utilizar la configuración centralizada para configurar el CSPM de Security Hub en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

**Admite diferentes configuraciones en diferentes cuentas y OUs**  
Con la configuración central, puede elegir configurar las cuentas de su organización de diferentes OUs maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

**Prevención de desviaciones de la configuración**  
La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

## ¿Cuándo se debe utilizar la configuración centralizada?
<a name="central-configuration-audience"></a>

La configuración central es más beneficiosa para los AWS entornos que incluyen varias cuentas CSPM de Security Hub. Está diseñada para ayudar a administrar el CSPM de Security Hub para varias cuentas.

La configuración centralizada permite configurar el servicio del CSPM de Security Hub, así como los estándares y los controles de seguridad. También pueden utilizarla para personalizar los parámetros de determinados controles. Para obtener más información sobre los estándares de seguridad, consulte [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md). Para más información sobre los controles de seguridad, consulte [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md).



## Términos y conceptos de la configuración centralizada
<a name="central-configuration-concepts"></a>

Comprender los siguientes términos y conceptos clave puede ayudar a utilizar la configuración centralizada del CSPM de Security Hub.

**Configuración centralizada**  
Una característica del CSPM de Security Hub que permite a la cuenta de administrador delegado de una organización configurar el servicio del CSPM de Security Hub, así como sus estándares y controles de seguridad en múltiples cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración del CSPM de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración central, debe integrar Security Hub CSPM y. AWS Organizations

**Región de origen**  
 Región de AWS Desde el que el administrador delegado configura centralmente el Security Hub CSPM, mediante la creación y administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.  
La región de origen también sirve como la región de agregación del CSPM de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.  
Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones de suscripción voluntaria. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones opcionales, consulte la sección [Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) en la *Guía de referencia de administración de cuentas de AWS *.

**Región vinculada**  
Y Región de AWS que se pueden configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. La especificación de las regiones vinculadas es opcional.  
Una región vinculada también envía resultados, información y otros datos a la región de origen.  
Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulta [Especificar qué Regiones de AWS cuenta puedes usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la *Guía de referencia de administración de AWS cuentas*.

**Destino**  
Una Cuenta de AWS unidad organizativa (OU) o la raíz de la organización.

**Política de configuración del CSPM de Security Hub**  
Un conjunto de ajustes del CSPM de Security Hub que el administrador delegado puede configurar para los destinos administrados de forma centralizada. Esto incluye:  
+ Si se habilita o desactiva el CSPM de Security Hub.
+ Si se habilitan uno o más [estándares de seguridad](standards-reference.md).
+ Qué [controles de seguridad](securityhub-controls-reference.md) se habilitan en todos los estándares habilitados. Para hacerlo, el administrador delegado puede proporcionar una lista de controles específicos que deben estar habilitados, y el CSPM de Security Hub desactivará todos los demás controles (incluidos los controles nuevos cuando se lanzan). Como alternativa, el administrador delegado puede proporcionar una lista de controles específicos que deberían estar desactivados y el CSPM Security Hub habilitará todos los demás controles (incluidos los controles nuevos cuando se lanzan).
+ Si lo desea, [personalice parámetros](custom-control-parameters.md) de ciertos controles habilitados en los estándares habilitados.
Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.  
En la consola del CSPM de Security Hub, el administrador delegado puede elegir la política de configuración recomendada del CSPM de Security Hub o crear políticas de configuración personalizadas. Con la API CSPM de Security Hub y AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.  
En la política de configuración recomendada, el CSPM de Security Hub, el estándar Prácticas recomendadas de seguridad básica de AWS (FSBP) y todos los controles FSBP existentes y nuevos están habilitados. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.  
Para aplicar diferentes ajustes a la organización o aplicar diferentes políticas de configuración a diferentes cuentas y OUs crear una política de configuración personalizada.

**Configuración local**  
El tipo de configuración predeterminado para una organización, después de integrar Security Hub CSPM y. AWS Organizations Con la configuración local, el administrador delegado puede optar por habilitar automáticamente el CSPM de Security Hub y los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) en las *nuevas* cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.  
La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

**Administración manual de cuentas**  
Si no integra Security Hub CSPM AWS Organizations o tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

**Configuración centralizada APIs**  
Operaciones del CSPM de Security Hub que solo el administrador delegado del CSPM de Security Hub puede usar en la región de origen para administrar políticas de configuración para cuentas administradas centralmente. Las operaciones incluyen:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Cuenta específica APIs**  
Operaciones de CSPM de Security Hub que se pueden utilizar para habilitar o deshabilitar el CSPM, los estándares y los controles de Security Hub de forma independiente. account-by-account Estas operaciones se utilizan en cada región individual.  
Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Para comprobar el estado de una cuenta, el propietario de una cuenta administrada de forma centralizada *puede* utilizar cualquiera de las operaciones `Get` o `Describe` de la API del CSPM de Security Hub.  
Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.  
Las cuentas autoadministradas también pueden utilizar las operaciones `*Invitations` y `*Members`. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

**Unidad organizativa (OU)**  
En AWS Organizations Security Hub CSPM, un contenedor para un grupo de. Cuentas de AWS Una unidad organizativa (OU) también puede contener otras OUs, lo que permite crear una jerarquía similar a un árbol invertido, con una unidad organizativa principal en la parte superior y con las ramas extendidas hacia abajo, acabando en cuentas que son las hojas del árbol. OUs Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.  
Puede administrar OUs en AWS Organizations o. AWS Control Tower Para obtener más información, consulte [Administración de unidades organizativas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) en la *Guía del usuario de AWS Organizations * o [Control de organizaciones y cuentas con AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) en la *Guía del usuario de AWS Control Tower *.  
El administrador delegado puede asociar las políticas de configuración a cuentas específicas o OUs a la raíz para abarcar todas las cuentas OUs de una organización.

**Administrada de forma centralizada**  
Un destino que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.  
La cuenta de administrador delegado especifica si un destino se administra de forma centralizada. El administrador delegado también puede cambiar el estado del destino de administrado centralmente a autoadministrado o al revés.

**Autoadministrado**  
Un destino que administre su propia configuración del CSPM de Security Hub. Un destino autoadministrado utilice operaciones específicas de la cuenta para configurar el CSPM de Security Hub por separado en cada región. Esto contrasta con los destinos administrados de forma centralizada, que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.  
La cuenta de administrador delegado especifica si un destino es autoadministrado. El administrador delegado puede aplicar un comportamiento autoadministrado a un destino. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal.  
La cuenta de administrador delegado en sí puede ser una cuenta autoadministrada. La cuenta de administrador delegado puede cambiar el estado de un destino, de autoadministrado a administrado de forma centralizada o al revés.  


**Asociación de políticas de configuración**  
Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:  
+ Cuando el administrador delegado aplica directamente una política de configuración a una cuenta, unidad organizativa o raíz
+ Cuando una cuenta o unidad organizativa hereda una política de configuración de una unidad organizativa principal o de la cuenta raíz
Existe una asociación hasta que se aplique o herede una configuración diferente.

**Política de configuración aplicada**  
Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino o a la raíz. OUs Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la raíz, la política de configuración afecta a todas las OUs cuentas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la empresa matriz más cercana.  
El administrador delegado también puede aplicar una configuración autogestionada a cuentas específicas o a la raíz. OUs

**Política de configuración heredada**  
Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.   
La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

**Raíz**  
En AWS Organizations Security Hub CSPM, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la raíz, la política se asocia a todas las cuentas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se OUs designen como autogestionables. Si el administrador designa la raíz como autogestionada, todas las cuentas de la organización se autogestionarán, a menos que utilicen una política de configuración por aplicación o herencia. OUs Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.  
Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.

# Habilitación de la configuración centralizada en el CSPM de Security Hub
<a name="start-central-configuration"></a>

La cuenta de administrador de CSPM de AWS Security Hub delegada puede usar la configuración central para configurar el CSPM, los estándares y los controles del Security Hub para varias cuentas y unidades organizativas () en todas. OUs Regiones de AWS

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección, se explican los requisitos previos para la configuración centralizada y cómo empezar a utilizarla.

## Requisitos previos para la configuración centralizada
<a name="prerequisites-central-configuration"></a>

Antes de empezar a utilizar la configuración central, debe integrar Security Hub CSPM AWS Organizations y designar una región de origen. Si usa la consola del CSPM de Security Hub, estos requisitos forman parte del flujo de inscripción para la configuración centralizada.

### Integración con Organizations
<a name="orgs-integration-prereq"></a>

Debe integrar el CSPM de Security Hub y Organizations para utilizar la configuración centralizada.

Para integrar estos servicios, comience por crear una organización en Organizations. Desde la cuenta de administración de Organizations, se designa una cuenta como administrador delegado del CSPM de Security Hub. Para obtener instrucciones, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

Asegúrese de designar un administrador delegado en la **región de origen prevista**. Cuando empieza a utilizar la configuración centralizada, también se establece automáticamente el mismo administrador delegado en todas las regiones vinculadas. La cuenta de administración de Organizations *no se puede* establecer como cuenta de administrador delegado.

**importante**  
Cuando usa la configuración central, no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización se utiliza AWS Organizations APIs para cambiar o eliminar al administrador delegado de CSPM de Security Hub, Security Hub CSPM detiene automáticamente la configuración central. Sus políticas de configuración también se desasocian y se eliminan. Las cuentas de miembro retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

### Designación de una región de origen
<a name="home-region-prereq"></a>

Debe designar una región de origen para utilizar la configuración centralizada. La región de origen es aquella desde la que el administrador delegado configura la organización.

**nota**  
La región de origen no puede ser una región AWS designada como región opcional. Las regiones optativas están deshabilitadas de forma predeterminada. Para ver una lista de las regiones opcionales, consulte la sección [Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) en la *Guía de referencia de administración de cuentas de AWS *.

Si lo desea, puede especificar una o más regiones vinculadas que se puedan configurar desde la región de origen.

El administrador delegado puede crear y administrar políticas de configuración solo desde la región de agregación. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. No puede crear una política de configuración que se aplique exclusivamente a un subconjunto de estas regiones. La excepción a esto son los controles que involucran recursos globales. Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Para obtener más información, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

La región de origen también es la región de agregación del CSPM de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Si ya ha establecido una región de agregación para la agregación entre regiones, esa será su región de origen predeterminada para la configuración centralizada. Puede cambiar la región de origen antes de empezar a utilizar la configuración centralizada. Para ello, elimine su agregador de resultados actual y cree uno nuevo en la región de origen que desee. Un agregador de resultados es un recurso del CSPM de Security Hub que especifica la región de origen y las regiones vinculadas.

Para designar una región de origen, consulte [los pasos para configurar una región de agregación](finding-aggregation-enable.md). Si ya tiene una región de origen, puede invocar la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) para ver los detalles de dicha región, lo que incluye las regiones que están vinculadas actualmente a ella.

## Instrucciones para habilitar la configuración centralizada
<a name="central-configuration-get-started"></a>

Elija el método que prefiera y siga los pasos para habilitar la configuración centralizada en su organización.

------
#### [ Security Hub CSPM console ]

**Para habilitar la configuración centralizada (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Configuración** y **Configuración**. A continuación, elija **Iniciar configuración centralizada**.

   Si está en el poceso de incorporación al CSPM de Security Hub, seleccione **Ir al CSPM de Security Hub**.

1. En la página **Designar administrador delegado**, seleccione su cuenta de administrador delegado o ingrese su ID de cuenta. Si corresponde, se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS . Elija **Establecer administrador delegado**.

1. En la página **Centralizar organización**, en la sección **Regiones**, seleccione su región de origen. Debe haber iniciado sesión en dicha región para continuar. Si ya ha configurado una región de agregación para la agregación entre regiones, aparecerá como la región de origen. Para cambiar la región de origen, seleccione **Editar configuración de la región**. A continuación, puede seleccionar la región de origen que prefiera y volver a este flujo de trabajo.

1. Seleccione al menos una región para vincularla a la región de origen. De manera opcional, elija si desea vincular automáticamente las futuras regiones compatibles con la región de origen. El administrador delegado configurará las regiones que seleccione aquí desde la región de origen. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

1. Seleccione **Confirmar y continuar**.

1.  A partir de ahora, puede utilizar la configuración centralizada. Siga las instrucciones de la consola para crear su primera política de configuración. Si aún no lo tiene todo preparado para crear una política de configuración, seleccione **Aún no lo tengo todo listo para configurarla**. Para crear una política más adelante, puede seleccionar **Configuración** y, a continuación, **Configuración** en el panel de navegación. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Para habilitar la configuración centralizada (API)**

1. Con las credenciales de la cuenta de administrador delegado, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) desde la región de origen.

1. Establezca el campo `AutoEnable` como `false`.

1. Establezca el campo `ConfigurationType` del objeto `OrganizationConfiguration` en `CENTRAL`. Esta acción tiene los siguientes efectos:
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.
   + Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que realiza la llamada se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga el CSPM de Security Hub habiliado. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.
   + Se establece [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) como `false` en todas las regiones vinculadas y se establece [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) como `NONE` en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

1. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**Ejemplo de solicitud de API:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Para habilitar la configuración centralizada (AWS CLI)**

1. Con las credenciales de la cuenta de administrador delegado, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) desde la región de origen.

1. Incluya el parámetro `no-auto-enable`.

1. Establezca el campo `ConfigurationType` del objeto `organization-configuration` en `CENTRAL`. Esta acción tiene los siguientes efectos:
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.
   + Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que llama se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga habilitado Security Hub. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.
   + Establece la opción de habilitación automática como [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) en todas las regiones vinculadas y establece [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) como `NONE` en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

1. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**Comando de ejemplo:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Destinos administrados centralmente y destinos autoadministrados
<a name="central-configuration-management-type"></a>

*Al habilitar la configuración central, el administrador de CSPM de AWS Security Hub delegado puede designar cada cuenta, unidad organizativa (OU) y raíz de la organización como gestionada de *forma centralizada o autogestionada*.* El tipo de administración de un destino determina cómo se puede especificar la configuración del CSPM de Security Hub.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección se explican las diferencias entre una designación administrada de forma centralizada y una autoadministrada, y cómo elegir el tipo de administración de una cuenta, una unidad organizativa o la raíz.

**Autoadministrado**  
El propietario de una cuenta, unidad organizativa o raíz autogestionada debe configurar sus ajustes por separado en cada una de ellas. Región de AWS El administrador delegado no puede crear políticas de configuración para destinos autoadministrados.

**Administrada de forma centralizada**  
Solo el administrador CSPM de Security Hub delegado puede configurar los ajustes de las cuentas gestionadas de forma centralizada o de la raíz en la región de origen y las regiones vinculadas. OUs Las políticas de configuración se pueden asociar a cuentas administradas de forma centralizada y. OUs

El administrador delegado puede cambiar el estado de un destino entre autoadministrado y administrado de forma centralizada. De forma predeterminada, al iniciar la configuración centralizada mediante la API del CSPM de Security Hub, todas las cuentas y la unidad organizativa se establecen como destinos autoadministrados. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y las OUs que asocie a su primera política se administran de forma centralizada. El resto de las cuentas OUs se administran automáticamente de forma predeterminada.

Si se asocia una política de configuración a una cuenta que anteriormente era autoadministrada, la configuración de la política reemplaza la designación de autoadministración. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Si cambia un destino administrado centralmente a un destino autoadministrado, las configuraciones que se habían aplicado previamente a la cuenta mediante una política de configuración permanecen vigentes. Por ejemplo, una cuenta gestionada de forma centralizada podría asociarse inicialmente a una política que habilitara el CSPM de Security Hub, habilitara las prácticas recomendadas de seguridad AWS fundamentales y deshabilitara .1. CloudTrail Si luego designa la cuenta como autoadministrada, todas las configuraciones permanecen sin cambios. Sin embargo, el propietario de la cuenta puede modificar de manera independiente la configuración de la cuenta en adelante.

Las cuentas secundarias OUs pueden heredar el comportamiento autogestionado de un progenitor autogestionado, del mismo modo que las cuentas secundarias y OUs pueden heredar las políticas de configuración de un progenitor gestionado de forma centralizada. Para obtener más información, consulte [Asociación de políticas mediante la aplicación y la herencia](configuration-policies-overview.md#policy-association).

Una cuenta o una unidad organizativa autoadministrada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autogestionados a gestionados de forma centralizada. OUs 

## Opciones para configurar los ajustes en las cuentas autoadministradas
<a name="self-managed-settings"></a>

Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.

Los propietarios de cuentas autoadministradas pueden invocar las siguientes operaciones de la API del CSPM de Security Hub en cada región para establecer sus ajustes:
+ `EnableSecurityHub` y `DisableSecurityHub` para habilitar o desativar el servicio del CSPM de Security Hub (si una cuenta autoadministrada tiene un administrador delegado del CSPM de Security Hub, el administrador debe [desasociar la cuenta](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) antes de que el propietario de la cuenta pueda desactivar el CSPM de Security Hub).
+ `BatchEnableStandards` y `BatchDisableStandards` para habilitar o deshabilitar estándares
+ `BatchUpdateStandardsControlAssociations` o `UpdateStandardsControl` para habilitar o deshabilitar controles

Las cuentas autoadministradas también pueden utilizar las operaciones `*Invitations` y `*Members`. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

Para obtener descripciones de las acciones de la API del CSPM de Security Hub, consulte la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Las cuentas autogestionadas también pueden usar la consola CSPM de Security Hub o AWS CLI configurar sus ajustes en cada región.

Las cuentas autogestionadas no pueden invocar ninguna política de configuración o asociación de políticas de CSPM APIs relacionada con Security Hub. Solo el administrador delegado puede invocar la configuración central APIs y utilizar las políticas de configuración para configurar las cuentas gestionadas de forma centralizada.

## Elección del tipo de administración de un destino
<a name="choose-management-type"></a>

Elija el método que prefiera y siga los pasos para designar una cuenta o unidad organizativa como gestionada de forma centralizada o autogestionada en AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. Elija **Configuración**.

1. En la pestaña **Organización**, seleccione la cuenta o la unidad organizativa de destino. Elija **Edit (Edición de)**.

1. En la página **Definir configuración**, en **Tipo de administración**, elija **Administrada de forma centralizada** si desea que el administrador delegado configure la cuenta o unidad organizativa de destino. A continuación, elija **Aplicar una política específica** si desea asociar una política de configuración existente al destino. Elija **Heredar de mi organización** si desea que el destino herede la configuración de la cuenta principal más cercana. Elija **Autoadministrado** si desea que la cuenta o unidad organizativa configure sus propios ajustes.

1. Elija **Siguiente**. Revise los cambios y seleccione **Guardar**.

------
#### [ Security Hub CSPM API ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique `SELF_MANAGED_SECURITY_HUB` si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

1. Para el `Target` campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

**Ejemplo de solicitud de la API para designar una cuenta autoadministrada:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique `SELF_MANAGED_SECURITY_HUB` si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

1. Para el `target` campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

**Ejemplo de comando para designar una cuenta autoadministrada:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Cómo funcionan las políticas de configuración del CSPM de Security Hub
<a name="configuration-policies-overview"></a>

El administrador de CSPM de AWS Security Hub delegado puede crear políticas de configuración para configurar el CSPM del Security Hub, los estándares de seguridad y los controles de seguridad de una organización. Tras crear una política de configuración, el administrador delegado puede asociarla a cuentas, unidades organizativas () OUs específicas o a la raíz. A continuación, la política entra en vigor en las cuentas especificadas o en la raíz. OUs

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección, se proporciona información general y detallada de las políticas de configuración.

## Consideraciones respecto de la política
<a name="configuration-policies-considerations"></a>

Antes de crear una política de configuración en el CSPM de Security Hub, tenga en cuenta los siguientes detalles.
+ **Las políticas de configuración deben estar asociadas para que surtan efecto**: después de crear una política de configuración, puedes asociarla a una o más cuentas, unidades organizativas (OUs) o a la raíz. Una política de configuración se puede asociar a las cuentas, OUs mediante una aplicación directa o mediante la herencia de una unidad organizativa principal.
+ **Se puede asociar una cuenta o unidad organizativa a una sola política de configuración**: para evitar ajustes conflictivos, una cuenta o unidad organizativa solo se puede asociar a una política de configuración en un momento dado. Como alternativa, una cuenta o unidad organizativa puede autoadministrarse.
+ **Las políticas de configuración están completas**: las políticas de configuración proporcionan una especificación completa de la configuración. Por ejemplo, una cuenta secundaria no puede aceptar la configuración de algunos controles de una política ni la configuración de otros controles de otra política. Cuando asocie una política a una cuenta secundaria, asegúrese de que la política especifique toda la configuración que desea que utilice dicha cuenta.
+ **Las políticas de configuración no se pueden revertir**: no existe la opción de revertir una política de configuración después de asociarla a cuentas o. OUs Por ejemplo, si asocias una política de configuración que inhabilita los CloudWatch controles a una cuenta específica y, a continuación, disocias esa política, los CloudWatch controles seguirán deshabilitados en esa cuenta. Para volver a habilitar CloudWatch los controles, puede asociar la cuenta a una nueva política que habilite los controles. Como alternativa, puede cambiar la cuenta a autogestionada y habilitar cada CloudWatch control de la cuenta.
+ **Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas**: una política de configuración afecta a todas las cuentas asociadas de la región de origen y a todas las regiones vinculadas. No puede crear una política de configuración que surta efecto solo en algunas de estas regiones y no en otras. La excepción a esto son los [controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources). El CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen.

  Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de que una política de configuración entre en vigor en ella. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener instrucciones sobre cómo habilitar las regiones opcionales, consulta [Especificar qué regiones puedes usar en Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la Guía de *referencia sobre la administración de AWS cuentas*.

  Si la política configura un control que no está disponible en la región de origen o en una o más regiones vinculadas, el CSPM de Security Hub omite la configuración de ese control en las regiones donde no está disponible, pero aplica la configuración en las regiones donde sí lo está. No posee cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.
+ **Las políticas de configuración son recursos**: como recurso, una política de configuración tiene un Nombre de recurso de Amazon (ARN) y un identificador único universal (UUID). El ARN del producto tiene el siguiente formato: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Una configuración autoadministrada no tiene ARN o UUID. El identificador de una configuración autoadministrada es `SELF_MANAGED_SECURITY_HUB`.

## Tipos de políticas de configuración
<a name="policy-types"></a>

Cada política de configuración especifica la configuración siguiente:
+ Habilite o desactive el CSPM de Security Hub.
+ Habilite uno o más [estándares de seguridad](standards-reference.md).
+ Indique qué [controles de seguridad](securityhub-controls-reference.md) están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y el CSPM de Security Hub desactivará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar desactivados y el CSPM de Security Hub habilitará todos los demás controles, incluidos los controles nuevos cuando se lanzan.
+ Si lo desea, [personalice parámetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) de ciertos controles habilitados en los estándares habilitados.

Las políticas de configuración centrales no incluyen los ajustes de la AWS Config grabadora. Debe habilitar AWS Config y activar por separado la grabación de los recursos necesarios para que Security Hub CSPM pueda generar hallazgos de control. Para obtener más información, consulte [Consideraciones antes de habilitar y configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.

Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.

Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

### Política de configuración recomendada
<a name="recommended-policy"></a>

Al crear una política de configuración por *primera vez en la consola del CSPM de Security Hub*, tiene la opción de elegir la política recomendada del CSPM de Security Hub.

La política recomendada habilita el CSPM de Security Hub, el estándar AWS Foundational Security Best Practices (FSBP) y todos los controles FSBP nuevos y existentes. Los controles que aceptan parámetros utilizan los valores predeterminados. La política recomendada se aplica a las cuentas root (todas las cuentas, tanto las nuevas como las existentes). OUs Tras crear la política recomendada para su organización, puede modificarla desde la cuenta de administrador delegado. Por ejemplo, puede habilitar estándares o controles adicionales o deshabilitar controles específicos del FSBP. Para obtener instrucciones sobre cómo modificar una política de configuración, consulte [Actualización de las políticas de configuración](update-policy.md).

### Política de configuración personalizada
<a name="custom-policy"></a>

En lugar de la política recomendada, el administrador delegado puede crear hasta 20 políticas de configuración personalizadas. Puede asociar una única política personalizada a toda la organización o distintas políticas personalizadas a distintas cuentas y OUs. En el caso de una política de configuración personalizada, debe especificar la configuración que desee. Por ejemplo, puede crear una política personalizada que habilite el FSBP, AWS Foundations Benchmark v1.4.0 de Center for Internet Security (CIS) y todos los controles de esos estándares, excepto los controles de Amazon Redshift. El nivel de granularidad que utilice en las políticas de configuración personalizadas depende del alcance previsto de la cobertura de seguridad en toda la organización.

**nota**  
No puede asociar una política de configuración que desactive el CSPM de Security Hub con la cuenta de administrador delegado. Esta política se puede asociar a otras cuentas, pero omite la asociación con el administrador delegado. La cuenta de administrador delegado retiene su configuración actual.

Tras crear una política de configuración personalizada, puede cambiar a la política de configuración recomendada mediante su actualización para que refleje la configuración recomendada. Sin embargo, no aparece la opción de crear la política de configuración recomendada en la consola del CSPM de Security Hub después de crear la primera política.

## Asociación de políticas mediante la aplicación y la herencia
<a name="policy-association"></a>

Cuando opta por la configuración centralizada por primera vez, su organización no tiene asociaciones y se comporta de la misma manera que antes de la configuración. A continuación, el administrador delegado puede establecer asociaciones entre una política de configuración o un comportamiento autogestionado y las cuentas o la raíz. OUs Las asociaciones se pueden establecer mediante *aplicación* o *herencia*.

Desde la cuenta del administrador delegado, puede aplicar directamente una política de configuración a una cuenta, unidad organizativa o la raíz. Como alternativa, el administrador delegado puede aplicar directamente una designación autoadministrada a una cuenta, unidad organizativa o raíz.

En ausencia de una aplicación directa, una cuenta o unidad organizativa hereda la configuración de la cuenta principal más cercana que tenga una política de configuración o un comportamiento autoadministrado. Si la cuenta principal más cercana está asociada a una política de configuración, la cuenta secundaria hereda esa política y solo la puede configurar el administrador delegado de la región de origen. Si el padre más cercano es autogestionado, el hijo hereda el comportamiento autogestionado y tiene la capacidad de especificar su propia configuración en cada uno de ellos. Región de AWS

La aplicación tiene prioridad sobre la herencia. En otras palabras, la herencia no anula una política de configuración o una designación autoadministrada que el administrador delegado haya aplicado directamente a una cuenta o unidad organizativa.

Si aplica directamente una política de configuración a una cuenta autoadministrada, la política anula la designación autoadministrada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Recomendamos aplicar directamente una política de configuración a la raíz. Si aplica una política a la raíz, las nuevas cuentas que se unan a su organización heredarán automáticamente la política raíz, a menos que las asocie a una política diferente o las designe como autoadministrables.

Solo se puede asociar una política de configuración a una cuenta o unidad organizativa en un momento dado, ya sea mediante aplicación o herencia. Se diseñó así para evitar configuraciones conflictivas.

El siguiente diagrama ilustra cómo funcionan la aplicación de políticas y la herencia en una configuración centralizada.

![\[Aplicación y herencia de políticas de configuración del CSPM de Security Hub\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


En este ejemplo, se ha aplicado una política de configuración a un nodo resaltado en verde. No se ha aplicado ninguna política de configuración al nodo resaltado en azul. Un nodo resaltado en amarillo se ha designado como autoadministrado. Cada cuenta y unidad organizativa usa la siguiente configuración:
+ **OU:Root (verde)**: esta unidad organizativa usa la política de configuración que se le ha aplicado.
+ **OU:Prod (azul)**: esta unidad organizativa hereda la política de configuración de OU:Root.
+ **OU:Applications (verde)**: esta unidad organizativa usa la política de configuración que se le ha aplicado.
+ **Cuenta 1 (verde)**: esta cuenta usa la política de configuración que se le ha aplicado.
+ **Cuenta 2 (azul)**: esta cuenta hereda la política de configuración de OU:Applications.
+ **OU:Dev (amarillo)**: esta unidad organizativa está autoadministrada.
+ **Cuenta 3 (verde)**: esta cuenta usa la política de configuración que se le ha aplicado.
+ **Cuenta 4 (azul)**: esta cuenta hereda el comportamiento autoadministrado de OU:Dev.
+ **OU:Test (Blue)**: esta cuenta hereda la política de configuración de OU:Root.
+ **Cuenta 5 (azul)**: esta cuenta hereda la política de configuración de OU:Root, ya que su matriz inmediata, OU:Test, no está asociada a ninguna política de configuración.

## Prueba de una política de configuración
<a name="test-policy"></a>

Para asegurarse de que comprende cómo funcionan las políticas de configuración, le recomendamos crear una política y asociarla a una cuenta de prueba o unidad organizativa.

**Prueba de una política de configuración**

1. Cree una política de configuración personalizada y verifique que los ajustes especificados para la habilitación del CSPM de Security Hub, los estándares y los controles sean correctos. Para obtener instrucciones, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

1. Aplique la política de configuración a una cuenta de prueba o unidad organizativa que no tenga ninguna cuenta secundaria o. OUs

1. Compruebe que la cuenta de prueba o la unidad organizativa utilicen la política de configuración de la manera esperada en su región de origen y en todas las regiones vinculadas. También puede comprobar que todas las demás cuentas de su organización siguen siendo autogestionadas y pueden cambiar sus propios ajustes en cada región. OUs 

Después de probar una política de configuración en una sola cuenta o unidad organizativa, puede asociarla a otras cuentas y OUs.

# Creación y asociación de políticas de configuración
<a name="create-associate-policy"></a>

La cuenta de administrador de CSPM de AWS Security Hub delegada puede crear políticas de configuración que especifiquen cómo se configuran el CSPM, los estándares y los controles de Security Hub en cuentas y unidades organizativas específicas (). OUs Una política de configuración solo entra en vigor después de que el administrador delegado la asocie al menos a una cuenta o unidad organizativa () OUs o a la raíz. El administrador delegado también puede asociar una configuración autogestionada a las cuentas o a la OUs raíz.

Si es la primera vez que crea una política de configuración, le recomienda que revise antes [Cómo funcionan las políticas de configuración del CSPM de Security Hub](configuration-policies-overview.md).

Elija el método de acceso que prefiera y siga los pasos para crear y asociar una política de configuración o una configuración autoadministrada. Al utilizar la consola CSPM de Security Hub, puede asociar una configuración a varias cuentas o OUs al mismo tiempo. Al utilizar la API CSPM de Security Hub o AWS CLI, puede asociar una configuración a una sola cuenta o unidad organizativa en cada solicitud.

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Creación y asociación de políticas de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y la pestaña **Políticas**. A continuación, seleccione **Crear política**.

1. En la página **Configurar organización**, si es la primera vez que crea una política de configuración, verá tres opciones en **Tipo de configuración**. Si ya ha creado al menos una política de configuración, solo verá la opción **Política personalizada**.
   + Elija **Usar la configuración CSPM de Security Hub AWS recomendada en toda mi organización** para usar nuestra política recomendada. La política recomendada habilita el CSPM de Security Hub en todas las cuentas de la organización, habilita el estándar AWS Foundational Security Best Practices (FSBP) y habilita todos los controles FSBP nuevos y existentes. Los controles utilizan valores de parámetros predeterminados.
   + Para crear una política de configuración más tarde, seleccione **Aún no lo tengo todo listo para configurarla**.
   + Seleccione **Política personalizada** para crear una política de configuración personalizada. Especifique si desea habilitar o desactivar el CSPM de Security Hub, qué estándares desea habilitar y qué controles desea habilitar dentro de esos estándares. Si lo desea, especifique [valores de parámetros personalizados](custom-control-parameters.md) para uno o más controles habilitados que admitan parámetros personalizados.

1. En la sección **Cuentas**, elija las cuentas de destino o las cuentas raíz a las que desea que se aplique la política de configuración. OUs
   + Seleccione **Todas las cuentas** si desea aplicar la política de configuración a la raíz. Esto incluye todas las cuentas de OUs la organización a las que no se les haya aplicado o heredado otra política.
   + Elija **Cuentas específicas** si desea aplicar la política de configuración a cuentas específicas o OUs. Introduzca la cuenta IDs o seleccione las cuentas y la estructura OUs de la organización. Puede aplicar la política a un máximo de 15 objetivos (cuentas o root) al crearla. OUs Para especificar un número mayor, edite la política después de crearla y aplíquela a destinos adicionales.
   + Seleccione **Solo el administrador delegado** para aplicar la política de configuración a la cuenta de administrador delegado actual.

1. Elija **Siguiente**.

1. En la página **Revisar y aplicar**, revise los detalles de la política de configuración. A continuación, seleccione **Crear y aplicar política**. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a la política de configuración mediante una aplicación o la herencia de un nodo principal. Las cuentas secundarias y OUs los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se excluyan específicamente, se autoadministren o utilicen una política de configuración diferente.

------
#### [ Security Hub CSPM API ]

**Creación y asociación de políticas de configuración**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En `Name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `Description`, proporcione una descripción de la política de configuración.

1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

1. Para el objeto `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están habilitados.

1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

1. Para aplicar su política de configuración a las cuentas o OUs, invoque la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique el nombre de recurso de Amazon (ARN) o el identificador único universal (UUID) de la política. La API `CreateConfigurationPolicy` devuelve el ARN y el UUID. En una configuración autoadministrada, el campo `ConfigurationPolicyIdentifier` es igual a `SELF_MANAGED_SECURITY_HUB`.

1. En el campo `Target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un objetivo en cada solicitud de API. Las cuentas secundarias y OUs del destino seleccionado heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

**Ejemplo de solicitud de API para crear una política de configuración:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Ejemplo de solicitud de API para asociar una política de configuración:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Creación y asociación de políticas de configuración**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En `name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `description`, proporcione una descripción de la política de configuración.

1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

1. En el campo `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Se han habilitado otros controles que se aplican a los estándares habilitados (como los controles recién lanzados).

1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

1. Para aplicar la política de configuración a las cuentas o OUs, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración. El comando `create-configuration-policy` devuelve este ARN e ID.

1. En el campo `target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un destino cada vez que ejecute el comando. Las entidades secundarias de los destinos seleccionados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

**Ejemplo de comando para crear una política de configuración:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Ejemplo de comando para asociar una política de configuración:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

La API `StartConfigurationPolicyAssociation` devuelve un campo llamado `AssociationStatus`. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILURE`. Para obtener más información sobre el estado de una asociación, consulte [Revisión del estado de asociación de una política de configuración](view-policy.md#configuration-association-status).

# Revisión del estado y los detalles de las políticas de configuración
<a name="view-policy"></a>

El administrador de CSPM de AWS Security Hub delegado puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas a las que está asociada una política. OUs

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Elija su método preferido y siga estos pasos para ver las políticas de configuración.

------
#### [ Security Hub CSPM console ]

**Para ver políticas de configuración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Seleccione la pestaña **Políticas** para obtener un resumen de las políticas de configuración.

1. Seleccione una política de configuración y elija **Ver detalles** para ver detalles adicionales sobre ella, incluidas las cuentas a las OUs que está asociada.

------
#### [ Security Hub CSPM API ]

Para ver una lista resumida de todas las políticas de configuración, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. La cuenta de administrador delegado del CSPM de Security Hub debe invocar la operación en la región de origen.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para ver los detalles sobre una política de configuración específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). La cuenta de administrador delegado debe invocar la operación en la región de origen. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para ver una lista resumida de todas las políticas de configuración y sus respectivas asociaciones de cuentas, utilice la operación de configuración [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para ver las asociaciones de una cuenta específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. En `target`, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisión del estado de asociación de una política de configuración
<a name="configuration-association-status"></a>

Las siguientes operaciones de la API de configuración centralizada devuelven un campo denominado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.

El valor de `AssociationStatus` indica si una asociación de política está pendiente o si se encuentra en un estado de éxito o de error para una cuenta específica. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILED`. Un estado de `SUCCESS` significa que todos los ajustes especificados en la política de configuración están asociados a la cuenta. Un estado de `FAILED` significa que uno o más ajustes especificados en la política de configuración no se asociaron a la cuenta. A pesar de un estado `FAILED`, la cuenta podría estar configurada parcialmente conforme a la política. Por ejemplo, puede intentar asociar una cuenta a una política de configuración que habilite el CSPM de Security Hub, habilite las prácticas recomendadas de seguridad AWS fundamentales y deshabilite .1. CloudTrail Las dos configuraciones iniciales podrían funcionar correctamente, pero la configuración CloudTrail .1 podría fallar. En este ejemplo, el estado de la asociación es `FAILED`, incluso cuando algunos ajustes se configuraron correctamente.

El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es `SUCCESS`, el estado de asociación de la entidad principal es `SUCCESS`. Si el estado de asociación de una o más entidades secundarias es `FAILED`, el estado de asociación de la entidad principal es `FAILED`.

El valor de `AssociationStatus` depende del estado de asociación de la política en todas las regiones pertinentes. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de `AssociationStatus` es `SUCCESS`. Si se produce un error en la asociación en una o más de estas regiones, el valor de `AssociationStatus` es `FAILED`.

El siguiente comportamiento también afecta al valor de `AssociationStatus`:
+ Si el destino es una unidad organizativa principal o de la raíz, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo cuando todas las entidades secundarias tienen un estado `SUCCESS` o `FAILED`. Si el estado de asociación de una cuenta o unidad organizativa secundaria cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la entidad principal a una configuración, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.
+ Si el destino es una cuenta, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo si la asociación tiene un resultado de `SUCCESS` o `FAILED` en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.

Si agrega una región vinculada nueva, el CSPM de Security Hub replica las asociaciones existentes que se encuentran en un estado `PENDING`, `SUCCESS` o `FAILED` en la nueva región.

Incluso cuando el estado de la asociación es `SUCCESS`, el estado de habilitación de un estándar incluido en la política puede pasar a un estado incompleto. En ese caso, el CSPM de Security Hub no puede generar resultados para los controles del estándar. Para obtener más información, consulte [Verificación del estado de un estándar](enable-standards.md#standard-subscription-status).

## Solución de problemas de la asociación
<a name="failed-association-reasons"></a>

En AWS Security Hub CSPM, la asociación de una política de configuración puede fallar por los siguientes motivos habituales.
+ **La cuenta de administración de Organizations no es miembro**: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener activado AWS Security Hub CSPM. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.
+ **AWS Config no está habilitada o configurada correctamente**: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitada y configurada para registrar los recursos relevantes.
+ **Debe asociarse desde una cuenta de administrador delegada**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en la cuenta de administrador delegada de CSPM de Security Hub.
+ **Debe asociarse desde la región de origen**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en su región de origen.
+ **La región optativa no está habilitada**: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.
+ **Cuenta de miembro suspendida**: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.

# Actualización de las políticas de configuración
<a name="update-policy"></a>

Tras crear una política de configuración, la cuenta de administrador CSPM AWS de Security Hub delegada puede actualizar los detalles de la política y las asociaciones de políticas. Cuando se actualizan los detalles de la política, las cuentas asociadas a la política de configuración comienzan a utilizar de manera automática la política actualizada.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

El administrador delegado puede actualizar los siguientes ajustes de la política:
+ Habilite o desactive el CSPM de Security Hub.
+ Habilite uno o más [estándares de seguridad](standards-reference.md).
+ Indique qué [controles de seguridad](securityhub-controls-reference.md) están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y el CSPM de Security Hub desactivará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar desactivados y el CSPM de Security Hub habilitará todos los demás controles, incluidos los controles nuevos cuando se lanzan.
+ Si lo desea, [personalice parámetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) de ciertos controles habilitados en los estándares habilitados.

Elija su método preferido y siga estos pasos para actualizar una política de configuración.

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Actualización de las políticas de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Seleccione la política de configuración que desea modificar y elija **Editar**. Si lo desea, edite la configuración de la política. Deje esta sección como está si desea mantener la configuración de la política sin cambios.

1. Seleccione **Siguiente**. Si lo desea, edite las asociaciones de políticas. Deje esta sección como está si desea mantener las asociaciones de políticas sin cambios. Puede asociar o desasociar la política a un máximo de 15 destinos (cuentas o root) al actualizarla. OUs 

1. Elija **Siguiente**.

1. Revise los cambios y seleccione **Guardar y aplicar**. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a una política de configuración mediante una aplicación o la herencia de un nodo principal.

------
#### [ API ]

**Actualización de las políticas de configuración**

1. Para actualizar los ajustes de una política de configuración, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar. 

1. Proporcione valores actualizados para los campos de `ConfigurationPolicy`. También tiene la opción de indicar el motivo de la actualización.

1. Para agregar asociaciones nuevas para esta política de configuración, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

1. Para el `Target` campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

**nota**  
Al invocar la API `UpdateConfigurationPolicy`, el CSPM de Security Hub sustituye por completo la lista de los campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` y `SecurityControlCustomParameters`. Cada vez que invoque esta API, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

**Ejemplo de solicitud de API para actualizar una política de configuración:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Actualización de las políticas de configuración**

1. Para actualizar los ajustes de una política de configuración, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.

1. Proporcione valores actualizados para los campos de `configuration-policy`. También tiene la opción de indicar el motivo de la actualización.

1. Para agregar nuevas asociaciones para esta política de configuración, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

1. Para el `target` campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

**nota**  
Al ejecutar el comando `update-configuration-policy`, el CSPM de Security Hub sustituye por completo la lista de los campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` y `SecurityControlCustomParameters`. Cada vez que ejecute este comando, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

**Ejemplo de comando para actualizar una política de configuración:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

La API `StartConfigurationPolicyAssociation` devuelve un campo llamado `AssociationStatus`. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILURE`. Para obtener más información sobre el estado de una asociación, consulte [Revisión del estado de asociación de una política de configuración](view-policy.md#configuration-association-status).

# Eliminación de políticas de configuración
<a name="delete-policy"></a>

Tras crear una política de configuración, el administrador CSPM AWS de Security Hub delegado puede eliminarla. Como alternativa, el administrador delegado puede conservar la política, pero disociarla de cuentas o unidades organizativas específicas (OUs) o de la raíz. Para obtener instrucciones sobre cómo desasociar una política, consulte [Desasociación de una configuración de sus objetivos](disassociate-policy.md).

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección se explica cómo eliminar políticas de configuración.

Al eliminar una política de configuración, esta deja de existir en su organización. Las cuentas de destino y la raíz de la organización ya no pueden usar la política de configuración. OUs Los destinos que estaban asociados a una política de configuración eliminada heredan la política de configuración de la entidad principal más próxima o se vuelven autoadministrados si la entidad principal más próxima se autoadministra. Si desea que un destino utilice una configuración diferente, puede asociar el destino a una nueva política de configuración. Para obtener más información, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

Se recomienda crear y asociar al menos una política de configuración a su organización para proporcionar una cobertura de seguridad adecuada.

Para poder eliminar una política de configuración, debe desasociarla de cualquier cuenta o raíz a la que se aplique actualmente. OUs

Elija su método preferido y siga estos pasos para eliminar una política de configuración.

------
#### [ Console ]

**Eliminación de una política de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**. Seleccione la política de configuración que desea eliminar y, a continuación, elija **Eliminar**. Si la política de configuración sigue asociada a alguna cuenta o OUs, se le pedirá que primero desasocie la política de esos destinos antes de poder eliminarla.

1. Revise el mensaje de confirmación. Ingrese **confirm** y elija **Eliminar**.

------
#### [ API ]

**Eliminación de una política de configuración**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea eliminar. Si recibe un `ConflictException` error, la política de configuración seguirá aplicándose a las cuentas o OUs a su organización. Para resolver el error, desasocie la política de configuración de estas cuentas o OUs antes de intentar eliminarla.

**Ejemplo de solicitud de API para eliminar una política de configuración:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Eliminación de una política de configuración**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

 Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea eliminar. Si recibe un `ConflictException` error, la política de configuración seguirá aplicándose a las cuentas o OUs a su organización. Para resolver el error, desasocie la política de configuración de estas cuentas o OUs antes de intentar eliminarla.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Desasociación de una configuración de sus objetivos
<a name="disassociate-policy"></a>

Desde la cuenta de administrador CSPM de AWS Security Hub delegada, puede desasociar una política de configuración o una configuración autogestionada de una cuenta, unidad organizativa o raíz. La desasociación conserva la política para su uso futuro, pero elimina las asociaciones existentes de cuentas específicas o de la raíz. Solo puede desasociar una configuración aplicada directamente, no una configuración heredada. OUs Para cambiar una configuración heredada, puede aplicar una política de configuración o un comportamiento autoadministrado a la cuenta o unidad organizativa afectada. También puede aplicar una nueva política de configuración, que incluya las modificaciones que desee, a la entidad principal más próxima.

La desasociación *no* elimina una política de configuración. La política se retiene en su cuenta, por lo que puede asociarla a otros destinos de su organización. Para obtener instrucciones sobre cómo eliminar una política de configuración, consulte [Eliminación de políticas de configuración](delete-policy.md). Cuando se completa la desasociación, el destino afectado hereda la política de configuración o el comportamiento autoadministrado de la entidad principal más próxima. Si no hay una configuración heredable, el destino conserva la configuración que tenía antes de la desasociación, pero pasa a ser autoadministrado.

Elija el método que prefiera y siga los pasos para desasociar una cuenta, unidad organizativa o raíz de su configuración actual.

------
#### [ Console ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la pestaña **Organizaciones**, seleccione la cuenta, unidad organizativa o la raíz que desee desasociar de su configuración actual. Elija **Edit (Edición de)**.

1. En la página **Definir configuración**, en **Administración**, elija **Política aplicada** si desea que el administrador delegado tenga autorización para aplicar las políticas directamente al destino. Elija **Heredada** si desea que el destino herede la configuración de su entidad principal más próxima. En cualquiera de estos casos, el administrador delegado controla la configuración del destino. Elija **Autoadministrada** si desea que la cuenta o la unidad organizativa controlen su propia configuración.

1. Tras revisar los cambios, seleccione **Siguiente** y **Aplicar**. Esta acción anula las configuraciones existentes de cualquier cuenta o OUs que esté dentro del alcance, si esas configuraciones entran en conflicto con sus selecciones actuales.

------
#### [ API ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  En `ConfigurationPolicyIdentifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique `SELF_MANAGED_SECURITY_HUB` en este campo para desasociar el comportamiento autoadministrado.

1.  Para ello`Target`, indique las cuentas o la raíz que desee disociar de esta política de configuración. OUs

**Ejemplo de solicitud de API para desasociar una política de configuración:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  En `configuration-policy-identifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique `SELF_MANAGED_SECURITY_HUB` en este campo para desasociar el comportamiento autoadministrado.

1.  Para `target` ello, indique las cuentas o la raíz que desee disociar de esta política de configuración. OUs

**Ejemplo de comando para desasociar una política de configuración:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Cómo configurar un estándar o un control en contexto
<a name="central-configuration-in-context"></a>

Cuando se utiliza la [configuración central](central-configuration-intro.md) en AWS Security Hub CSPM, el administrador delegado del Security Hub CSPM puede crear políticas de configuración que especifiquen cómo se configuran el CSPM de Security Hub, los estándares de seguridad y los controles de seguridad para una organización. El administrador delegado puede asociar políticas a cuentas y unidades organizativas (UO) específicas. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. El administrador delegado puede actualizar políticas según sea necesario.

En la consola del CSPM de Security Hub, el administrador delegado puede actualizar las políticas de configuración de dos maneras: desde la página de **Configuración** o dentro del contexto de los flujos de trabajo existentes. Esto último puede resultar útil porque, al revisar los resultados de seguridad, es posible identificar qué estándares y controles son más relevantes para su entorno y configurarlos al mismo tiempo.

La configuración en contexto solo se encuentra disponible en la consola del CSPM de Security Hub. Mediante programación, el administrador delegado debe invocar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) de la API del CSPM de Security Hub para cambiar la forma en que se configuran estándares o controles específicos en la organización.

Siga estos pasos para configurar un estándar o un control del CSPM de Security Hub en contexto.

**Para configurar un estándar o un control en contexto (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, elija una de las siguientes opciones:
   + Para configurar un estándar, seleccione **Estándares de seguridad** y elija un estándar específico.
   + Para configurar un control, seleccione **Controles** y elija un control específico.

1. La consola muestra las políticas de configuración del CSPM de Security Hub existentes y el estado del estándar o control seleccionado en cada una. Elija las opciones para habilitar o desactivar el estándar o el control en cada política de configuración existente. En el caso de los controles, también puede optar por personalizar los [parámetros del control](custom-control-parameters.md). No puede crear una política nueva durante la configuración en contexto. Para crear una nueva política, debe ir a la página **Configuración**, elegir la pestaña **Políticas** y, a continuación, elegir **Crear política**.

1. Cuando termine de aplicar los cambios, seleccione **Siguiente**.

1. Revise los cambios y elija **Aplicar**. Las actualizaciones afectan a todas las OUs cuentas asociadas a una política de configuración modificada. Las actualizaciones también tienen efecto en la región de origen y en todas las regiones vinculadas.

# Desactivación de la configuración centralizada en el CSPM de Security Hub
<a name="stop-central-configuration"></a>

Al deshabilitar la configuración central en AWS Security Hub CSPM, el administrador delegado pierde la capacidad de configurar Security Hub CSPM, los estándares de seguridad y los controles de seguridad en varias Cuentas de AWS unidades organizativas () y. OUs Regiones de AWS En su lugar, debe configurar la mayoría de los ajustes por separado para cada cuenta en cada región.

**importante**  
Antes de poder deshabilitar la configuración central, primero debe [desasociar sus cuentas y su](disassociate-policy.md) configuración actual, ya sea que se trate OUs de una política de configuración o de un comportamiento autogestionado.  
Antes de poder deshabilitar la configuración centralizada, también debe [eliminar las políticas de configuración existentes](delete-policy.md).

Al deshabilitar la configuración centralizada, se producen los siguientes cambios:
+ El administrador delegado ya no puede crear políticas de configuración para la organización.
+ Las cuentas que tenían una política de configuración aplicada o heredada retienen su configuración actual, pero se vuelven autoadministradas.
+ Su organización cambia a la *configuración local*. Al utilizar el enfoque de configuración local, la mayoría de los ajustes del CSPM de Security Hub se deben configurar por separado para cada cuenta y región de la organización. El administrador delegado puede optar por habilitar automáticamente el CSPM de Security Hub, los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) y todos los controles que forman parte de los estándares predeterminados en las nuevas cuentas de la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Esta configuración entra en vigor en la región actual y afecta únicamente a las cuentas nuevas de la organización. El administrador delegado no puede cambiar los estándares predeterminados. La configuración local no admite el uso de políticas de configuración ni la configuración a nivel de la unidad organizativa.

La identidad de la cuenta de administrador delegado sigue siendo la misma cuando se deja de utilizar la configuración centralizada. Su región de origen y las regiones vinculadas también siguen siendo las mismas (su región de origen ahora se denomina región de agregación y se puede utilizar para la agregación de resultados).

Elija el método que prefiera y siga los pasos para dejar de utilizar la configuración centralizada y cambiar a la configuración local.

------
#### [ Security Hub CSPM console ]

**Para deshabilitar la configuración centralizada (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la sección **Información general**, seleccione **Editar**.

1. En el cuadro **Editar configuración de la organización**, seleccione **Configuración local**. Si aún no lo ha hecho, se le solicitará que desasocie y elimine las políticas de configuración actuales antes de poder dejar de utilizar la configuración centralizada. Las cuentas o las OUs que estén designadas como autogestionadas deben disociarse de su configuración autogestionada. Para ello, en la consola puede [cambiar el tipo de administración](central-configuration-management-type.md#choose-management-type) de cada cuenta u unidad organizativa autoadministrada a **Administrada de forma centralizada** y **Heredar de mi organización**.

1. Si lo desea, seleccione los ajustes predeterminados de la configuración local para las nuevas cuentas de la organización.

1. Elija **Confirmar**.

------
#### [ Security Hub CSPM API ]

**Para deshabilitar la configuración centralizada (API)**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html).

1. Establezca el campo `ConfigurationType` del objeto `OrganizationConfiguration` en `LOCAL`. La API devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, invoque la API `StartConfigurationPolicyDisassociation`. Para eliminar una política de configuración, invoque la API `DeleteConfigurationPolicy`.

1. Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, establezca el campo `AutoEnable` en `true`. De forma predeterminada, el valor de este campo es `false` y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo `AutoEnableStandards` en `DEFAULT`. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo `AutoEnableStandards` en `NONE`.

**Ejemplo de solicitud de API:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Para deshabilitar la configuración centralizada (AWS CLI)**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Establezca el campo `ConfigurationType` del objeto `organization-configuration` en `LOCAL`. El comando devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, ejecute el comando `start-configuration-policy-disassociation`. Para eliminar una política de configuración, ejecute el comando `delete-configuration-policy`.

1. Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, incluya el parámetro `auto-enable`. De forma predeterminada, el valor de este parámetro es `no-auto-enable` y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo `auto-enable-standards` en `DEFAULT`. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo `auto-enable-standards` en `NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Administración de cuentas de administrador y de miembro en el CSPM de Security Hub
<a name="securityhub-accounts"></a>

Si su AWS entorno tiene varias cuentas, puede tratar las cuentas que utilizan AWS Security Hub CSPM como cuentas de miembro y asociarlas a una sola cuenta de administrador. El administrador puede supervisar el estado general de seguridad y tomar [medidas permitidas](securityhub-accounts-allowed-actions.md) en las cuentas de miembro. El administrador también puede realizar diversas tareas de gestión y administración de cuentas a gran escala, como supervisar los costos de uso estimados y evaluar las cuotas de las cuentas.

Puede asociar las cuentas de los miembros a un administrador de dos maneras: integrando Security Hub CSPM AWS Organizations o enviando y aceptando manualmente las invitaciones de membresía en Security Hub CSPM.

## Administrar cuentas con AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y administrar múltiples cuentas. Cuentas de AWS Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos AWS Security Hub CSPM, Amazon Macie y Amazon. GuardDuty Para obtener más información, consulte la [Guía del usuario de *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Al integrar Security Hub CSPM y AWS Organizations, la cuenta de administración de Organizations designa a un administrador delegado de Security Hub CSPM. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegado Región de AWS en la que se designó.

Tras designar un administrador delegado, recomendamos administrar las cuentas en el CSPM de Security Hub con una [configuración centralizada](central-configuration-intro.md). Esta es la manera más eficaz de personalizar el CSPM de Security Hub y garantizar una cobertura de seguridad adecuada en la organización.

La configuración central permite al administrador delegado personalizar el CSPM de Security Hub en varias cuentas y regiones de la organización en lugar de configurarlo. Region-by-Region Puede crear una política de configuración para toda la organización o crear políticas de configuración diferentes para diferentes cuentas y. OUs Las políticas especifican si el CSPM de Security Hub está habilitado o desactivado en las cuentas asociadas, así como los estándares y controles de seguridad que se deben habilitar.

El administrador delegado puede designar las cuentas como administradas de manera centralizada o autoadministradas. Las cuentas administradas de manera centralizada solo las puede configurar el administrador delegado. Las cuentas autoadministradas pueden especificar su propia configuración.

Si no utiliza la configuración centralizada, el administrador delegado dispone de capacidades más limitadas para configurar el CSPM de Security Hub; a este enfoque se le denomina *configuración local*. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) en las nuevas cuentas de la organización dentro de la región actual. Sin embargo, las cuentas existentes no utilizan esta configuración, por lo que se pueden producir cambios en la configuración después de que una cuenta se una a la organización.

Además de esta nueva configuración de la cuenta, la configuración local es específica de la cuenta y de la región. Cada cuenta de la organización debe configurar el servicio, los estándares y los controles del CSPM de Security Hub por separado en cada región. La configuración local tampoco admite el uso de políticas de configuración.

## Administración manual de cuentas mediante invitación
<a name="securityhub-manual-account-management-overview"></a>

Si tiene una cuenta independiente, debe administrar manualmente las cuentas de miembro mediante invitación en el CSPM de Security Hub o si no ha integrado con Organizations. Una cuenta independiente no se puede integrar con Organizations, por lo que es necesario administrarla manualmente. Recomendamos la integración AWS Organizations y el uso de la configuración central si agrega cuentas adicionales en el futuro.

Cuando utiliza la administración manual de cuentas, designa una cuenta como administradora del CSPM de Security Hub. La cuenta de administrador puede ver los datos de las cuentas de miembro y tomar determinadas medidas en función de los resultados de las cuentas de miembro. El administrador del CSPM de Security Hub invita a otras cuentas para que sean cuentas de miembro. La relación administrador-miembro se establece cuando una potencial cuenta de miembro acepta la invitación.

La administración manual de cuentas no admite el uso de políticas de configuración. Sin políticas de configuración, el administrador no puede personalizar el CSPM de Security Hub de forma centralizada mediante el ajuste de parámetros distintos para diferentes cuentas. En su lugar, cada cuenta de la organización debe habilitar y configurar el CSPM de Security Hub por separado en cada región. Esto puede hacer que garantizar una cobertura de seguridad adecuada en todas las cuentas y regiones donde utilice el CSPM de Security Hub sea un proceso más lento y complejo. También puede provocar cambios en la configuración, ya que las cuentas de miembro pueden especificar su propia configuración sin la intervención del administrador.

Para administrar las cuentas mediante invitación, consulte [Administración de cuentas por invitación en el CSPM de Security Hub](account-management-manual.md).

# Recomendaciones para la administración de múltiples cuentas en el CSPM de Security Hub
<a name="securityhub-account-restrictions-recommendations"></a>

En la siguiente sección se resumen algunas restricciones y recomendaciones que se deben tener en cuenta al administrar las cuentas de los miembros en AWS Security Hub CSPM.

## Número máximo de cuentas miembro
<a name="admin-maximum-member-accounts"></a>

Si utilizas la integración con AWS Organizations, Security Hub CSPM admite hasta 10 000 cuentas de miembros por cuenta de administrador delegado en cada una de ellas. Región de AWS Si habilita y administra el CSPM de Security Hub de manera manual, el CSPM de Security Hub admite hasta 1000 invitaciones a cuentas de miembro por cuenta de administrador en cada región.

## Creación de relaciones administrador-miembro
<a name="securityhub-accounts-regions"></a>

**nota**  
Si utilizas la integración CSPM de Security Hub con AWS Organizations una cuenta de miembro y no has invitado manualmente a ninguna cuenta de miembro, esta sección no se aplica a ti.

Una cuenta no puede ser cuenta de administrador y cuenta de miembro al mismo tiempo.

Una cuenta miembro solo se puede asociar con una cuenta de administrador. Si una cuenta de la organización está habilitada por la cuenta de administrador del CSPM de Security Hub, esa cuenta no puede aceptar una invitación de otra cuenta. Si una cuenta ya aceptó una invitación, no puede ser habilitada por la cuenta de administrador del CSPM de Security Hub para la organización. Tampoco puede recibir invitaciones de otras cuentas.

En el caso del proceso de invitación manual, aceptar una invitación para convertirse en miembro es opcional.

### Membresía mediante AWS Organizations
<a name="accounts-regions-orgs"></a>

Si integra Security Hub CSPM con AWS Organizations, la cuenta de administración de la organización puede designar una cuenta de administrador delegado (DA) para Security Hub CSPM. En Organizations, la cuenta de administración de la organización no se puede configurar como el administrador delegado. Aunque esto está permitido en el CSPM de Security Hub, recomendamos que la cuenta de administración de Organizations *no* sea el administrador delegado.

Le recomendamos que seleccione la misma cuenta de administrador delegado en todas las regiones. Si utiliza la [configuración centralizada](central-configuration-intro.md), el CSPM de Security Hub establece la misma cuenta de administrador delegado en todas las regiones en las que configure el CSPM de Security Hub para la organización.

También le recomendamos que elija la misma cuenta DA en todos los servicios de AWS seguridad y cumplimiento para ayudarle a gestionar los problemas relacionados con la seguridad desde un único panel de control.

### Membresía por invitación
<a name="accounts-regions-invitation"></a>

En el caso de las cuentas miembro creadas mediante invitación, la asociación de cuentas administrador-miembro se crea únicamente en la región desde la que se envía la invitación. La cuenta de administrador debe habilitar el CSPM de Security Hub en cada región en la que desee utilizarlo. A continuación, la cuenta de administrador invita a cada cuenta a convertirse en cuenta de miembro en esa región.

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros.

## Coordinar cuentas de administrador en todos los servicios
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM agrega los hallazgos de varios AWS servicios, como Amazon, Amazon GuardDuty Inspector y Amazon Macie. Security Hub CSPM también permite a los usuarios pasar de un GuardDuty hallazgo a iniciar una investigación en Amazon Detective.

Sin embargo, las relaciones administrador-miembro que se configuran en estos otros servicios no se aplican automáticamente al CSPM de Security Hub. El CSPM de Security Hub recomienda usar la misma cuenta como cuenta de administrador para todos estos servicios. Esta cuenta de administrador debe ser una cuenta responsable de las herramientas de seguridad. La misma cuenta también debe ser la cuenta de agregador de AWS Config.

Por ejemplo, un usuario de la cuenta de GuardDuty administrador A puede ver los resultados de las cuentas de los GuardDuty miembros B y C en la consola. GuardDuty Si la cuenta A activa el CSPM de Security Hub, los usuarios de la cuenta A *no* ven automáticamente los GuardDuty resultados de las cuentas B y C en Security Hub CSPM. Estas cuentas también requieren una relación de administrador-miembro del CSPM de Security Hub.

Para hacerlo, designe la cuenta A como la cuenta de administrador del CSPM de Security Hub y habilite las cuentas B y C para que se conviertan en cuentas de miembro del CSPM de Security Hub.

# Administrar Security Hub CSPM para varias cuentas con AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Puede integrar AWS Security Hub CSPM con Security Hub CSPM y AWS Organizations, a continuación, administrarlo para las cuentas de su organización.

Para integrar Security Hub CSPM con AWS Organizations, debe crear una organización en. AWS Organizations La cuenta de administración de Organizations designa una cuenta como el administrador delegado del CSPM de Security Hub para la organización. El administrador delegado puede habilitar el CSPM de Security Hub para otras cuentas de la organización, agregar esas cuentas como cuentas de miembro del CSPM de Security Hub y realizar las acciones permitidas en las cuentas de miembro. El administrador delegado del CSPM de Security Hub puede habilitar y administrar el CSPM de Security Hub para un máximo de 10 000 cuentas de miembro.

El alcance de las capacidades de configuración del administrador delegado depende de si utiliza la [configuración centralizada](central-configuration-intro.md). Con la configuración centralizada habilitada, no necesita configurar el CSPM de Security Hub por separado en cada cuenta de miembro ni en cada Región de AWS. El administrador delegado puede aplicar ajustes específicos de CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas (OUs) de todas las regiones.

La cuenta de administrador delegado del CSPM de Security Hub puede realizar las acciones siguientes en las cuentas de miembro:
+ Si utiliza una configuración central, configure el Security Hub CSPM de forma centralizada para las cuentas de los miembros y cree políticas OUs de configuración del Security Hub CSPM. Las políticas de configuración se pueden utilizar para habilitar y desactivar el CSPM de Security Hub, habilitar y desactivar estándares, y habilitar y desactivar controles.
+ Trate automáticamente las cuentas *nuevas* como cuentas de miembro del CSPM de Security Hub cuando se unan a la organización. Si utiliza la configuración centralizada, una política de configuración asociada a una unidad organizativa incluye las cuentas nuevas y existentes que forman parte de la unidad organizativa.
+ Trate las cuentas *existentes* como cuentas de miembro del CSPM de Security Hub. Esto ocurre automáticamente si utiliza una configuración centralizada.
+ Desasociar las cuentas miembro que pertenecen a la organización. Si utiliza la configuración centralizada, solo podrá desasociar una cuenta de miembro después de designarla como autoadministrada. Como alternativa, puede asociar una política de configuración que desactive el CSPM de Security Hub en cuentas de miembro administradas de forma centralizada específicas.

Si no opta por la configuración centralizada, su organización utilizará el tipo de configuración predeterminada denominada configuración local. En la configuración local, el administrador delegado tiene una capacidad más limitada para aplicar la configuración en las cuentas de miembro. Para obtener más información, consulte [Descripción de la configuración local en el CSPM de Security Hub](local-configuration.md).

Para obtener una lista completa de las acciones que el administrador delegado puede llevar a cabo en las cuentas de los miembros, consulte [Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub](securityhub-accounts-allowed-actions.md).

En los temas de esta sección se explica cómo integrar el Security Hub CSPM AWS Organizations y cómo administrar el Security Hub CSPM para las cuentas de una organización. Cuando proceda, en cada sección, se identifican las ventajas y diferencias de administración para los usuarios de la configuración centralizada.

**Topics**
+ [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub](accounts-orgs-auto-enable.md)
+ [Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización](orgs-accounts-enable.md)
+ [Desasociación de cuentas de miembro del CSPM de Security Hub de la organización](accounts-orgs-disassociate.md)

# Integración de Security Hub CSPM con AWS Organizations
<a name="designate-orgs-admin-account"></a>

Para integrar AWS Security Hub CSPM y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto habilita el CSPM de Security Hub como un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite que el administrador delegado habilite el CSPM de Security Hub para las cuentas de miembro, consulte los datos de estas cuentas y realice otras [acciones permitidas](securityhub-accounts-allowed-actions.md) en ellas.

Si utiliza la [configuración centralizada](central-configuration-intro.md), el administrador delegado también puede crear políticas de configuración del CSPM de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles del CSPM de Security Hub en las cuentas de la organización.

## Creación de una organización
<a name="create-organization"></a>

Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) en la *Guía del usuario de AWS Organizations *.

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras. 

## Recomendaciones para elegir al administrador delegado del CSPM de Security Hub
<a name="designate-admin-recommendations"></a>

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.

Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que quienes acceden a la cuenta de administración de la organización para administrar la facturación suelen ser diferentes de quienes necesitan acceder al CSPM de Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, el CSPM de Security Hub designa automáticamente el mismo administrador delegado en la región de origen y en cualquier región vinculada.

## Verificación de permisos para configurar al administrador delegado
<a name="designate-admin-permissions"></a>

Para designar y eliminar una cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración de la organización debe tener permisos para las acciones `EnableOrganizationAdminAccount` y `DisableOrganizationAdminAccount` en el CSPM de Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, asocie las siguientes políticas administradas del CSPM de Security Hub a la entidad principal de IAM de la cuenta de administración de la organización:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designación del administrador delegado
<a name="designate-admin-instructions"></a>

Para designar la cuenta de administrador delegado del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a usar la configuración centralizada, el CSPM de Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no necesita tener habilitado el CSPM de Security Hub para designar a la cuenta de administrador delegado del CSPM de Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegado del CSPM de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como la cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración debe tener habilitado el CSPM de Security Hub. Si la cuenta de administración no tiene habilitado el CSPM de Security Hub, debe habilitar el CSPM de Security Hub manualmente para esa cuenta. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador delegado del CSPM de Security Hub mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Para designar al administrador delegado durante el proceso de incorporación**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir al CSPM de Security Hub**. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

1. En la página **Designar administrador delegado**, en la sección **Cuenta de administrador delegado**, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

1. Elija **Establecer administrador delegado**. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione **Cancelar**. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

**Para designar al administrador delegado desde la página **Configuración****

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.

1. Si actualmente hay asignada una cuenta de administrador del CSPM de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

   En **Administrador delegado**, para eliminar la cuenta actual, seleccione **Eliminar.**

1. Ingrese el ID de la cuenta que desea designar como administrador del **CSPM de Security Hub**.

   Debe designar la misma cuenta de administrador del CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

1. Elija **Delegar**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Proporcione el ID de la Cuenta de AWS del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo designa al administrador delegado del CSPM de Security Hub- Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Eliminación o cambio del administrador delegado
<a name="remove-admin-overview"></a>

Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegado del CSPM de Security Hub.

Para cambiar al administrador delegado del CSPM de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y luego designar una nueva.

**aviso**  
Cuando usa la [configuración central](central-configuration-intro.md), no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización usa la AWS Organizations consola o AWS Organizations APIs para cambiar o eliminar el administrador de CSPM de Security Hub delegado, Security Hub CSPM detiene automáticamente la configuración central y elimina las políticas de configuración y las asociaciones de políticas. Las cuentas de los miembros retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

Si utiliza la consola del CSPM de Security Hub para eliminar al administrador delegado en una región, este se elimina automáticamente en todas las regiones.

La API del CSPM de Security Hub solo elimina la cuenta de administrador delegado del CSPM de Security Hub en la región donde se emite la llamada a la API o el comando. Debe repetir la acción en las demás regiones.

Si utiliza la API de Organizations para eliminar la cuenta de administrador delegado del CSPM de Security Hub, esta se elimina automáticamente en todas las regiones.

## Eliminar el administrador delegado (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

Puede usar Organizations para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.

Si utiliza la configuración centralizada para administrar las cuentas, al eliminar la cuenta de administrador delegado, se eliminarán las políticas de configuración y las asociaciones de políticas. Las cuentas de miembro retienen las configuraciones que tenían antes de que se cambiara o eliminara el administrador delegado. Sin embargo, la cuenta de administrador delegado eliminada ya no puede administrar estas cuentas. Se convierten en cuentas autoadministradas que deben configurarse por separado en cada región.

Elija el método que prefiera y siga las instrucciones para eliminar la cuenta de administrador de CSPM de Security Hub delegada con ella. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Para eliminar al administrador delegado del CSPM de Security Hub**

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) de la API de Organizations. Si utiliza la AWS CLI, ejecute el comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Proporcione el ID de la cuenta del administrador delegado y la entidad principal de servicio para el CSPM de Security Hub, que es `securityhub.amazonaws.com`.

El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Eliminación del administrador delegado (consola del CSPM de Security Hub)
<a name="remove-admin-console"></a>

Puede usar la consola del CSPM de Security Hub para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.

Cuando se elimina la cuenta de administrador delegado del CSPM de Security Hub, las cuentas de miembro se desasocian de esa cuenta de administrador delegado eliminada.

El CSPM de Security Hub permanece habilitado en las cuentas de miembro. Estas se convierten en cuentas independientes hasta que un nuevo administrador del CSPM de Security Hub las habilite nuevamente como cuentas de miembro.

Si la cuenta de administración de la organización no es una cuenta habilitada en el CSPM de Security Hub, use la opción de la página **Le damos la bienvenida al CSPM de Security Hub**.

**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Le damos la bienvenida al CSPM de Security Hub**.**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir a Security Hub**.

1. En **Administrador delegado**, seleccione **Eliminar**.

Si la cuenta de administración de la organización es una cuenta habilitada en **Security Hub**, utilice la opción de la pestaña **General** de la página **Configuración**.

**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Configuración****

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.

1. En **Administrador delegado**, seleccione **Eliminar**.

## Eliminar el administrador delegado (API CSPM de Security Hub,) AWS CLI
<a name="remove-admin-api"></a>

Puede utilizar la API CSPM de Security Hub o las operaciones CSPM de Security Hub para eliminar AWS CLI al administrador de CSPM de Security Hub delegado. Al eliminar al administrador delegado con uno de estos métodos, este solo se elimina en la región en la que se emitió el comando o la llamada a la API. Security Hub CSPM no actualiza otras regiones ni elimina la cuenta de administrador delegado en ellas. AWS Organizations

Elija el método que prefiera y siga estos pasos para eliminar la cuenta del administrador delegado del CSPM de Security Hub con el CSPM de Security Hub.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para eliminar al administrador delegado del CSPM de Security Hub**

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) Proporcione el ID de la cuenta del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Desactivar la integración de Security Hub CSPM con AWS Organizations
<a name="disable-orgs-integration"></a>

Una vez que una AWS Organizations organización se ha integrado con AWS Security Hub CSPM, la cuenta de administración de Organizations puede deshabilitar posteriormente la integración. Como usuario de la cuenta de administración de Organizations, puede hacerlo mediante la desactivación del acceso de confianza del CSPM de Security Hub en AWS Organizations.

Cuando se desactica el acceso de confianza del CSPM de Security Hub, ocurre lo siguiente:
+ Security Hub CSPM pierde su condición de servicio de confianza en. AWS Organizations
+ La cuenta de administrador delegado del CSPM de Security Hub pierde el acceso a la configuración, los datos y los recursos del CSPM de Security Hub para todas las cuentas de miembro del CSPM de Security Hub en todas las Regiones de AWS.
+ Si utilizaba la [configuración centralizada](central-configuration-intro.md), el CSPM de Security Hub deja de usarla automáticamente para la organización. Se eliminan las políticas de configuración y las asociaciones de políticas. Las cuentas retienen las configuraciones que tenían antes de deshabilitar el acceso de confianza.
+ Todas las cuentas de miembro del CSPM de Security Hub pasan a ser cuentas independientes y conservan su configuración actual. Si el CSPM de Security Hub estaba habilitado para una cuenta de miembro en una o más regiones, el CSPM de Security Hub continúa habilitado para la cuenta en esas regiones. Los estándares y controles habilitados tampoco se modifican. Puede modificar esta configuración por separado en cada cuenta y región. Sin embargo, la cuenta ya no está asociada a un administrador delegado en ninguna región.

*Para obtener información adicional sobre los resultados de la desactivación del acceso a un servicio de confianza, consulte [Uso AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la Guía del AWS Organizations usuario.* 

Para deshabilitar el acceso de confianza, puede usar la AWS Organizations consola, la API de Organizations o la AWS CLI. Solo un usuario de la cuenta de administración de Organizations puede desactivar el acceso como servicio de confianza para el CSPM de Security Hub. Para obtener más información sobre los permisos que necesita, consulte [Permisos necesarios para deshabilitar el acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) en la *Guía del usuario de AWS Organizations *.

Antes de desactivar el acceso como servicio de confianza, recomendamos trabajar con el administrador delegado de la organización para desactivar el CSPM de Security Hub en las cuentas de miembro y limpiar los recursos del CSPM de Security Hub en esas cuentas.

Elija el método que prefiera y siga los pasos para desactivar el acceso como servicio de confianza para el CSPM de Security Hub.

------
#### [ Organizations console ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

1. Inicie sesión Consola de administración de AWS con las credenciales de la cuenta de AWS Organizations administración.

1. Abra la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. En el panel de navegación, elija **Servicios**.

1. En **Servicios integrados**, elija **CSPM de AWS Security Hub**.

1. Seleccione **Deshabilitar el acceso de confianza**.

1. Confirme que desea deshabilitar el acceso de confianza.

------
#### [ Organizations API ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

Invoca la operación de [desactivación del AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de la AWS Organizations API. En el parámetro `ServicePrincipal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).

------
#### [ AWS CLI ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

Ejecute el [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando de la AWS Organizations API. En el parámetro `service-principal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).

**Ejemplo:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub
<a name="accounts-orgs-auto-enable"></a>

Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página **Cuentas** de la consola CSPM de AWS Security Hub. En el caso de las cuentas de la organización, el **Tipo** es **Por organización**. De forma predeterminada, las cuentas nuevas no se convierten en cuentas de miembro del CSPM de Security Hub cuando se unen a la organización. Su estado es **No es miembro**. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar el CSPM de Security Hub en estas cuentas cuando se unen a la organización.

**nota**  
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada Cuenta de AWS, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones con las que puedes suscribirte, consulta [Cómo especificar qué regiones puede usar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.

## Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
<a name="central-configuration-auto-enable"></a>

Si utiliza la [configuración centralizada](central-configuration-intro.md), puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que el CSPM de Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).

Si asocia una política de configuración que habilita el CSPM de Security Hub a una UO específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa UO. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado el CSPM de Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que el CSPM de Security Hub esté habilitado, el CSPM de Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.

En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitación y configuración AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

## Habilitación automática de nuevas cuentas de la organización (configuración local)
<a name="limited-configuration-auto-enable"></a>

Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, el CSPM de Security Hub agrega cuentas *nuevas* de la organización como miembros y habilita el CSPM de Security Hub en estas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita el CSPM de Security Hub en las cuentas de la organización *existentes*, a menos que ya se hayan agregado como cuentas de miembro.

Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice la configuración OUs central.

Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitar y configurar AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.

------
#### [ Security Hub CSPM console ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.

1. En la sección **Cuentas**, active **Habilitación automática de cuentas**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) desde la cuenta de administrador delegado. Defina el campo `AutoEnable` en `true` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.

------
#### [ AWS CLI ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) desde la cuenta de administrador delegado. Incluya el parámetro `auto-enable` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización
<a name="orgs-accounts-enable"></a>

Si no habilita automáticamente el CSPM de Security Hub en las cuentas nuevas de la organización cuando se unen a la organización, puede agregar esas cuentas como cuentas de miembro y habilitar el CSPM de Security Hub en ellas de forma manual después de que se unan. También debe habilitar manualmente el CSPM de Security Hub si anteriormente Cuentas de AWS se desasoció de una organización.

**nota**  
Esta sección no se aplica a su caso si utiliza la [configuración centralizada](central-configuration-intro.md). Si utilizas la configuración central, puedes crear políticas de configuración que habiliten el CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas ()OUs. También puedes habilitar estándares y controles específicos en esas cuentas y. OUs

No puede habilitar el CSPM de Security Hub en una cuenta si ya es una cuenta de miembro de otra organización.

Tampoco puede habilitar el CSPM de Security Hub en una cuenta que esté suspendida. Si intenta habilitar el servicio en una cuenta suspendida, el estado de la cuenta cambia a **Cuenta suspendida**.
+ Si la cuenta no tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub se habilita para esa cuenta. El estándar AWS Foundational Security Best Practices (FSBP) y CIS AWS Foundations Benchmark v1.2.0 también están habilitados en la cuenta, a menos que desactive los estándares de seguridad predeterminados.

  La excepción a esto es la cuenta de administración de Organizations. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de Organizations. Debe habilitar el CSPM de Security Hub de forma manual en la cuenta de administración de Organizations antes de poder agregarla como una cuenta de miembro.
+ Si la cuenta ya tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub no hace ningún otro cambio en la cuenta. Solo habilita la membresía.

Para que el CSPM de Security Hub genere resultados de control, las cuentas de los miembros deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información, consulte [Habilitación y configuración de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Elija el método que prefiera y siga los pasos para habilitar una cuenta de organización como cuenta de miembro del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Habilitación manual de cuentas de la organización como miembros del CSPM de Security Hub**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.

1. En la lista **Cuentas**, seleccione cada cuenta de la organización que desee habilitar.

1. Elija **Acciones** y **Agregar miembro**.

------
#### [ Security Hub CSPM API ]

**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al invocar `CreateMembers` para habilitar una cuenta de la organización, no es necesario enviar una invitación.

------
#### [ AWS CLI ]

**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al ejecutar `create-members` para habilitar una cuenta de la organización, no es necesario enviar una invitación.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Ejemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Desasociación de cuentas de miembro del CSPM de Security Hub de la organización
<a name="accounts-orgs-disassociate"></a>

Para dejar de recibir y ver los resultados de una cuenta de miembro de CSPM de AWS Security Hub, puede desasociar la cuenta de miembro de su organización.

**nota**  
Si utiliza la [configuración centralizada](central-configuration-intro.md), la desasociación funciona de forma diferente. Puede crear una política de configuración que desactive el CSPM de Security Hub en una o más cuentas de miembro administradas de forma centralizada. Después de eso, las cuentas continúan en la organización, pero no generarán resultados del CSPM de Security Hub. Si utiliza la configuración centralizada, pero también tiene cuentas de miembro invitadas manualmente, puede desasociar una o más cuentas invitadas manualmente.

Las cuentas de los miembros que se administran mediante no AWS Organizations pueden disociar sus cuentas de la cuenta de administrador. Solo la cuenta de administrador puede desasociar cuentas de miembro.

Al desasociar una cuenta de miembro, esta no se elimina. En su lugar, la cuenta de miembro se elimina de la organización. La cuenta de miembro disociada se convierte en una cuenta independiente Cuenta de AWS que ya no se administra mediante la integración de CSPM de Security Hub. AWS Organizations

Elija el método que prefiera y siga los pasos para desasociar una cuenta de miembro de la organización.

------
#### [ Security Hub CSPM console ]

**Desasociación de una cuenta de miembro de la organización**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación, en **Configuración**, elija **Configuración**.

1. En la sección **Cuentas**, seleccione las cuentas que desee desasociar. Si utiliza la configuración centralizada, puede seleccionar una cuenta invitada manualmente para desvincularla desde la pestaña `Invitation accounts`. Esta pestaña solo es visible si utiliza la configuración centralizada.

1. Seleccione **Acciones** y, a continuación, **Desasociar cuenta**.

------
#### [ Security Hub CSPM API ]

**Desasociación de una cuenta de miembro de la organización**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) desde la cuenta de administrador delegado. Debe proporcionar los datos Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Desasociación de una cuenta de miembro de la organización**

Ejecute el comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) desde la cuenta de administrador delegado. Debe proporcionar la información necesaria Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, ejecute el comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Ejemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 También puede usar la AWS Organizations consola o AWS SDKs desasociar una cuenta de miembro de su organización. AWS CLI Para obtener más información, consulte [Eliminación de una cuenta miembro de la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) en la *Guía del usuario de AWS Organizations *.

# Administración de cuentas por invitación en el CSPM de Security Hub
<a name="account-management-manual"></a>

Puede administrar de forma centralizada varias cuentas CSPM de AWS Security Hub de dos maneras: integrando Security Hub CSPM AWS Organizations o enviando y aceptando manualmente las invitaciones de membresía. Debe utilizar el proceso manual si tiene una cuenta independiente o no la integra. AWS Organizations En la administración manual de cuentas, el administrador del CSPM de Security Hub invita a cuentas a convertirse en miembros. La relación administrador-miembro se establece cuando un potencial miembro acepta la invitación. Una cuenta de administrador del CSPM de Security Hub puede administrar el CSPM de Security Hub para hasta 1000 cuentas de miembro basadas en invitaciones. 

**nota**  
Si crea una organización basada en invitaciones en el CSPM de Security Hub, puede [hacer la transición con AWS Organizations](accounts-transition-to-orgs.md) posteriormente como alternativa. Si tiene más de una cuenta de miembro, le recomendamos que utilice AWS Organizations en lugar de las invitaciones de CSPM de Security Hub para administrar sus cuentas de miembro. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

La agregación entre regiones de resultados y otros datos están disponibles para las cuentas que invite a través del proceso de invitación manual. Sin embargo, el administrador debe invitar a la cuenta de miembro de la región de agregación y de todas las regiones vinculadas para que funcione la agregación entre regiones. Además, la cuenta de miembro debe tener habilitado el CSPM de Security Hub en la región de agregación y en todas las regiones vinculadas para que el administrador pueda ver los resultados de la cuenta miembro.

Las políticas de configuración no son compatibles con las cuentas miembros invitadas de forma manual. En su lugar, debe configurar los ajustes de CSPM de Security Hub por separado en cada cuenta de miembro y Región de AWS cuando utilice el proceso de invitación manual.

También debe utilizar el proceso manual basado en invitaciones para las cuentas que no pertenezcan a su organización. Por ejemplo, es posible que no incluya una cuenta de prueba en su organización. También puede optar por consolidar cuentas de varias organizaciones en una sola cuenta de administrador del CSPM de Security Hub. La cuenta de administrador del CSPM de Security Hub debe enviar invitaciones a las cuentas que pertenecen a otras organizaciones.

En la página **Configuración** de la consola del CSPM de Security Hub, las cuentas agregadas mediante invitación aparecen en la pestaña **Cuentas invitadas**. Si utiliza la [configuración centralizada](central-configuration-intro.md), pero también invita cuentas externas a la organización, podrá ver los resultados de esas cuentas basadas en invitación en esta pestaña. Sin embargo, el administrador del CSPM de Security Hub no puede configurar las cuentas basadas en invitación en las regiones mediante políticas de configuración.

En esta sección, se explica cómo administrar cuentas de miembros mediante invitaciones.

**Topics**
+ [Cómo agregar e invitar cuentas de miembro en el CSPM de Security Hub](securityhub-accounts-add-invite.md)
+ [Cómo responder a una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub](securityhub-invitation-respond.md)
+ [Cómo desasociar cuentas de miembro en el CSPM de Security Hub](securityhub-disassociate-members.md)
+ [Cómo eliminar cuentas de miembro en el CSPM de Security Hub](securityhub-delete-member-accounts.md)
+ [Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub](securityhub-disassociate-from-admin.md)
+ [Transición a Organizations para administrar cuentas en el CSPM de Security Hub](accounts-transition-to-orgs.md)

# Cómo agregar e invitar cuentas de miembro en el CSPM de Security Hub
<a name="securityhub-accounts-add-invite"></a>

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Su cuenta pasa a ser la administradora de AWS Security Hub CSPM para las cuentas que aceptan su invitación para convertirse en una cuenta miembro de Security Hub CSPM.

Al aceptar una invitación de otra cuenta, su cuenta se convierte en cuenta de miembro, mientras que la otra cuenta se convierte en su administrador.

Si su cuenta es la cuenta de administrador, no podrá aceptar una invitación para convertirse en cuenta de miembro.

El proceso para agregar una cuenta de miembro consta de los siguientes pasos:

1. La cuenta de administrador agrega la cuenta de miembro a su lista.

1. La cuenta de administrador envía una invitación a la cuenta de miembro.

1. La cuenta de miembro acepta la invitación. 

## Adición de cuentas de miembro
<a name="securityhub-add-accounts"></a>

Desde la consola del CSPM de Security Hub, puede agregar cuentas a la lista de cuentas de miembro. En la consola del CSPM de Security Hub, puede seleccionar cuentas de forma individual o cargar un archivo `.csv` que contenga la información de las cuentas.

Para cada cuenta, debe proporcionar el ID de la cuenta y una dirección de correo electrónico. La dirección de correo electrónico debe ser la dirección de correo electrónico de contacto en caso de problemas de seguridad de la cuenta. No se utiliza para verificar la cuenta.

Elija el método que prefiera y siga estos pasos para agregar cuentas de miembro.

------
#### [ Security Hub CSPM console ]

**Cómo agregar cuentas a su lista de cuentas de miembro**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en las credenciales de una cuenta del administrador.

1. En el panel izquierdo, seleccione **Configuración**.

1. En la página **Configuración**, seleccione **Cuentas**, elija **Agregar cuentas** y, a continuación, realice alguna de las siguientes operaciones: A continuación, puede agregar cuentas de forma individual o cargar un archivo `.csv` que contenga la lista de cuentas.

1. Para seleccionar las cuentas, realice una de las operaciones siguientes:
   + Para agregar las cuentas de una en una, debajo de **Introducir cuentas** escriba el ID y la dirección de correo electrónico de la cuenta que se va a agregar y, a continuación, elija **Agregar**.

     Repita este proceso para cada cuenta.
   + Para utilizar un archivo de valores separados por comas (.csv) para agregar varias cuentas, primero debe crear el archivo. El archivo debe contener el ID y la dirección de correo electrónico de cada cuenta que desee agregar.

     En la lista `.csv`, las cuentas deben aparecer de una en una en cada línea. La primera línea del archivo `.csv` debe contener el encabezado. En el encabezado, la primera columna es **Account ID** y la segunda **Email**.

     Cada una de las líneas siguientes debe contener un ID de cuenta y una dirección de correo electrónico válidos para la cuenta que se va a añadir.

     Este es un ejemplo de un archivo `.csv` visto en un editor de texto.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     En un programa de hojas de cálculo, los campos aparecen en columnas independientes. El formato subyacente sigue separado por comas. Debe formatear la cuenta con números no IDs decimales. Por ejemplo, el ID de cuenta 444455556666 no puede tener el formato 444455556666.0. Asegúrese también de que el formato numérico no elimine ningún cero inicial del ID de la cuenta.

     Para seleccionar el archivo, en la consola, seleccione **Cargar lista (.csv)**. A continuación, seleccione **Examinar**.

     Después de seleccionar el archivo, elija **Agregar cuentas**.

1. Cuando haya terminado de agregar cuentas, en **Cuentas que se van a agregar**, seleccione **Siguiente**.

------
#### [ Security Hub CSPM API ]

**Agregación de cuentas a su lista de cuentas de miembro**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) desde la cuenta de administrador. Para añadir cada cuenta de miembro, debe proporcionar el Cuenta de AWS ID.

------
#### [ AWS CLI ]

**Agregación de cuentas a su lista de cuentas de miembro**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) desde la cuenta de administrador. Para añadir cada cuenta de miembro, debe proporcionar la Cuenta de AWS identificación.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Ejemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Cómo invitar cuentas de miembro
<a name="securityhub-invite-accounts"></a>

Una vez agregadas las cuentas de miembro, envíe una invitación a la cuenta de miembro. También puede volver a enviar una invitación a una cuenta que haya desvinculado del administrador.

------
#### [ Security Hub CSPM console ]

**Invitación a potenciales cuentas de miembro**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en las credenciales de una cuenta del administrador.

1. En el panel de navegación, elija **Configuración** y **Cuentas**. 

1. En la cuenta que va a invitar, elija **Invite (Invitar)** en la columna **Status (Estado)**.

1. Cuando se le pida confirmación, elija **Invitar**.

**nota**  
Para volver a enviar invitaciones a cuentas desasociadas, seleccione cada una de las cuentas desasociadas en la página **Cuentas**. En **Acciones**, seleccione **Volver a enviar invitación**.

------
#### [ Security Hub CSPM API ]

**Invitación a potenciales cuentas de miembro**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) desde la cuenta de administrador. Para cada cuenta a la que desee invitar, debe proporcionar el Cuenta de AWS ID.

------
#### [ AWS CLI ]

**Invitación a potenciales cuentas de miembro**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) desde la cuenta de administrador. Para cada cuenta a la que quieras invitar, debes proporcionar el Cuenta de AWS ID.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Ejemplo**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Cómo responder a una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub
<a name="securityhub-invitation-respond"></a>

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Puedes aceptar o rechazar una invitación para ser miembro de AWS Security Hub CSPM.

Si acepta una invitación, la cuenta se convierte en una cuenta de miembro del CSPM de Security Hub. La cuenta que envió la invitación se convierte en la cuenta de administrador del CSPM de Security Hub. El usuario de la cuenta de administrador puede ver los resultados de la cuenta de miembro en el CSPM de Security Hub.

Si rechaza la invitación, su cuenta se marcará como **Renunciada** en la lista de cuentas de miembro de la cuenta de administrador.

Solo puede aceptar una invitación para ser miembro de la cuenta.

Antes de aceptar o rechazar una invitación, debe habilitar el CSPM de Security Hub.

Recuerde que todas las cuentas CSPM de Security Hub deben estar AWS Config habilitadas y configuradas para registrar todos los recursos. Para obtener más información sobre los requisitos AWS Config, consulte [Habilitar y configurar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html). AWS Config

## Cómo aceptar una invitación
<a name="securityhub-accept-invitation"></a>

Puede enviar una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub desde la cuenta de administrador. A continuación, podrá aceptar la invitación tras iniciar sesión en la cuenta de miembro.

Elija el método que prefiera y siga los pasos para aceptar una invitación y convertirse en una cuenta de miembro.

------
#### [ Security Hub CSPM console ]

**Aceptación de una invitación a una suscripción**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Configuración** y **Cuentas**.

1. En la sección **Cuenta de administrador**, active **Aceptar** y, a continuación, seleccione **Aceptar invitación**.

------
#### [ Security Hub CSPM API ]

**Aceptación de una invitación a una suscripción**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html). Debe proporcionar el identificador de la invitación y el Cuenta de AWS ID de la cuenta de administrador. Para recuperar los detalles de la invitación, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Aceptación de una invitación a una suscripción**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Debe proporcionar el identificador de la invitación y el Cuenta de AWS ID de la cuenta de administrador. Para recuperar los detalles de la invitación, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Ejemplo**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**nota**  
La consola del CSPM de Security Hub aún utiliza `AcceptInvitation`. Con el tiempo, pasará a usar `AcceptAdministratorInvitation`. Cualquier política de IAM que controle específicamente el acceso a esta función debe seguir empleando `AcceptInvitation`. También debe agregar `AcceptAdministratorInvitation` a sus políticas los permisos correctos una vez que la consola comience a utilizar `AcceptAdministratorInvitation`.

## Cómo rechazar una invitación
<a name="securityhub-decline-invitation"></a>

Puede rechazar una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub. Cuando rechaza una invitación en la consola del CSPM de Security Hub, la cuenta se marca como **Renunció** en la lista de cuentas de miembro de la cuenta de administrador. El estado **Renunció** solo aparece cuando inicia sesión en la consola del CSPM de Security Hub con la cuenta de administrador. Sin embargo, no habrá cambios en la invitación en la consola de la cuenta de miembro hasta que inicie sesión en la cuenta de administrador y elimine la invitación.

Para rechazar una invitación, debe iniciar sesión en la cuenta de miembro que recibió la invitación.

Elija el método preferido y siga los pasos para rechazar una invitación para ser una cuenta de miembro.

------
#### [ Security Hub CSPM console ]

**Rechazo de una invitación a una membresía**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Configuración** y **Cuentas**.

1. En la sección **Cuenta de administrador**, seleccione **Rechazar la invitación**.

------
#### [ Security Hub CSPM API ]

**Rechazo de una invitación a una membresía**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html). Debe proporcionar el Cuenta de AWS ID de la cuenta de administrador que emitió la invitación. Para ver la información sobre sus invitaciones, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Rechazo de una invitación a una membresía**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Debe proporcionar el Cuenta de AWS ID de la cuenta de administrador que emitió la invitación. Para ver la información sobre sus invitaciones, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Ejemplo**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Cómo desasociar cuentas de miembro en el CSPM de Security Hub
<a name="securityhub-disassociate-members"></a>

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Una cuenta de administrador de CSPM de AWS Security Hub puede desasociar una cuenta de miembro para dejar de recibir y ver los resultados de esa cuenta. Debe desvincular una cuenta de miembro antes de poder eliminarla.

Al desvincular una cuenta de miembro, permanece en la lista de cuentas de miembro con el estado **Eliminada (desvinculada)**. Su cuenta se elimina de la información de la cuenta de administrador de la cuenta de miembro.

Para volver a recibir los resultados de la cuenta, puede volver a enviar la invitación. Para eliminar la cuenta de miembro por completo, puede eliminarla.

Elija el método que prefiera y siga los pasos para desasociar una cuenta de miembro invitada manualmente desde la cuenta de administrador.

------
#### [ Security Hub CSPM console ]

**Desasociación de una cuenta de miembro invitada manualmente**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en las credenciales de una cuenta del administrador.

1. En el panel de navegación, en **Configuración**, elija **Configuración**.

1. En la sección **Cuentas**, seleccione las cuentas que desee desasociar.

1. Seleccione **Acciones** y, a continuación, **Desasociar cuenta**.

------
#### [ Security Hub CSPM API ]

**Desasociación de una cuenta de miembro invitada manualmente**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desee desasociar. Para ver una lista de las cuentas miembro, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Desasociación de una cuenta de miembro invitada manualmente**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desee desasociar. Para ver una lista de las cuentas de miembro, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Ejemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Cómo eliminar cuentas de miembro en el CSPM de Security Hub
<a name="securityhub-delete-member-accounts"></a>

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Como cuenta de administrador de CSPM de AWS Security Hub, puede eliminar las cuentas de miembros que se agregaron por invitación. Antes de poder eliminar una cuenta habilitada, debe desvincularla.

Al eliminar una cuenta de miembro, se elimina por completo de la lista. Para restaurar la suscripción de la cuenta, debe agregarla e invitarla de nuevo, como si se tratara de una cuenta de miembro completamente nueva.

No puede eliminar las cuentas que pertenecen a una organización y que se administran mediante la integración con. AWS Organizations

Elija el método que prefiera y siga los pasos para eliminar las cuentas de miembro invitados manualmente.

------
#### [ Security Hub CSPM console ]

**Eliminación de una cuenta de miembro invitada manualmente**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con la cuenta de administrador.

1. En el panel de navegación, elija **Configuración** y, a continuación, elija **Configuración**.

1. Seleccione la pestaña **Cuentas de invitación**. A continuación, seleccione las cuentas que desea eliminar.

1. Elija **Acciones** y, a continuación, elija **Eliminar**. Esta opción solo está disponible si ha desasociado la cuenta. Debe desasociar una cuenta de miembro antes de poder eliminarla.

------
#### [ Security Hub CSPM API ]

**Eliminación de una cuenta de miembro invitada manualmente**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desea eliminar. Para recuperar la lista de cuentas de miembro, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Eliminación de una cuenta de miembro invitada manualmente**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desea eliminar. Para recuperar la lista de cuentas de miembro, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Ejemplo**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub
<a name="securityhub-disassociate-from-admin"></a>

**nota**  
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Si su cuenta se agregó como cuenta de miembro de AWS Security Hub CSPM por invitación, puede desasociar la cuenta de miembro de la cuenta de administrador. Después de desasociar una cuenta de miembro, el CSPM de Security Hub deja de enviar resultados de la cuenta a la cuenta de administrador.

Las cuentas de los miembros que se administran mediante la integración con no AWS Organizations pueden disociar sus cuentas de la cuenta de administrador. Solo el administrador delegado del CSPM de Security Hub puede desasociar cuentas de miembro que se administran con Organizations.

Cuando se desvincula de su cuenta de administrador, su cuenta permanece en la lista de miembros de la cuenta de administrador con el estado **Renunciado**. Sin embargo, la cuenta de administrador no recibe ningún dato sobre su cuenta.

Tras desasociarse de la cuenta de administrador, la invitación para ser miembro seguirá vigente. Puede volver a aceptar la invitación en el futuro.

------
#### [ Security Hub CSPM console ]

**Cómo desvincularse de su cuenta de administrador**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Configuración** y **Cuentas**.

1. En la sección **Cuenta de administrador**, desactive **Aceptar** y, a continuación, seleccione **Actualizar**.

------
#### [ Security Hub CSPM API ]

**Desasociación de su cuenta de administrador**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).

------
#### [ AWS CLI ]

**Desasociación de su cuenta de administrador**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**nota**  
La consola del CSPM de Security Hub aún utiliza `DisassociateFromMasterAccount`. Con el tiempo, pasará a usar `DisassociateFromAdministratorAccount`. Cualquier política de IAM que controle específicamente el acceso a esta función debe seguir empleando `DisassociateFromMasterAccount`. También debe agregar `DisassociateFromAdministratorAccount` a sus políticas los permisos correctos una vez que la consola comience a utilizar `DisassociateFromAdministratorAccount`.

# Transición a Organizations para administrar cuentas en el CSPM de Security Hub
<a name="accounts-transition-to-orgs"></a>

Al administrar las cuentas manualmente en AWS Security Hub CSPM, debe invitar a posibles cuentas de miembros y configurar cada cuenta de miembro por separado en cada una de ellas. Región de AWS

Al integrar Security Hub CSPM AWS Organizations, puede eliminar la necesidad de enviar invitaciones y obtener un mayor control sobre cómo se configura y personaliza Security Hub CSPM en su organización. Por esta razón, recomendamos usar AWS Organizations en lugar de las invitaciones del CSPM de Security Hub para administrar las cuentas de miembro. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).

Es posible utilizar un enfoque combinado en el que se utiliza la AWS Organizations integración, pero también se pueden invitar manualmente a cuentas ajenas a la organización. Sin embargo, recomendamos utilizar exclusivamente la integración de Organizations. La [configuración centralizada](central-configuration-intro.md), una característica que ayuda a administrar el CSPM de Security Hub en múltiples cuentas y regiones, solo está disponible cuando se integra con Organizations.

En esta sección, se explica cómo pasar de la administración manual de cuentas basada en invitaciones a la administración de cuentas con AWS Organizations.

## Integración de Security Hub CSPM con AWS Organizations
<a name="transition-activate-orgs-integration"></a>

En primer lugar, debe integrar Security Hub CSPM y. AWS Organizations

Siga los pasos que se indican a continuación para integrar estos servicios:
+ Creación de una organización en AWS Organizations. Para obtener instrucciones sobre cómo hacerlo, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) en la *Guía del usuario de AWS Organizations *.
+ Desde la cuenta de administración de Organizations, designe una cuenta de administrador delegado del CSPM de Security Hub.

**nota**  
La cuenta de administración de Organizations *no se puede* establecer como cuenta de administrador delegado.

Para obtener instrucciones detalladas, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

Al completar los pasos anteriores, se concede un [acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) para el Security Hub CSPM en. AWS Organizations Esto también habilita el CSPM de Security Hub en la cuenta actual Región de AWS de administrador delegado.

El administrador delegado puede administrar la organización en el CSPM de Security Hub, principalmente al agregar las cuentas de la organización como cuentas de miembro del CSPM de Security Hub. El administrador también puede acceder a ciertos ajustes, datos y recursos del CSPM de Security Hub para esas cuentas.

Al hacer la transición a la administración de cuentas mediante Organizations, las cuentas basadas en invitaciones no se convierten automáticamente en miembros del CSPM de Security Hub. Solo las cuentas que agregue a la nueva organización se pueden convertir en miembros del CSPM de Security Hub.

Tras activar la integración, puede administrar las cuentas con Organizations. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md). La administración de cuentas varía en función del tipo de configuración de la organización.

# Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub
<a name="securityhub-accounts-allowed-actions"></a>

Las cuentas de administrador y miembro tienen acceso a las acciones de CSPM de AWS Security Hub que se indican en las siguientes tablas. En las tablas, los valores tienen los siguientes significados:
+ **Cualquiera:** la cuenta puede llevar a cabo la acción para todas las cuentas de miembro del mismo administrador.
+ **Actual:** la cuenta solo puede llevar a cabo la acción por sí misma (la cuenta en la que ha iniciado sesión).
+ **Guion:** indica que la cuenta no puede llevar a cabo la acción.

Como se indica en las tablas, las acciones permitidas varían en función de si se realiza la integración AWS Organizations y del tipo de configuración que utilice la organización. Para obtener más información acerca de la diferencia la configuración local y centralizada, consulte [Administrar cuentas con AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

El CSPM de Security Hub no copia los resultados de las cuentas de miembro en la cuenta de administrador. En el CSPM de Security Hub, todos los resultados se ingestan en una región específica para una cuenta específica. En cada región, la cuenta del administrador puede ver y gestionar los resultados de sus cuentas de miembro en esa región.

Si establece una región de agregación, la cuenta de administrador puede ver y administrar los resultados de las cuentas de miembro de las regiones vinculadas que se replican en la región de agregación. Para obtener más información sobre la agregación entre regiones, consulte [Agregación entre regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).

Las siguientes tablas especifican los permisos predeterminados para las cuentas de administrador y las cuentas de miembro. Puede utilizar políticas de IAM personalizadas para restringir aún más el acceso a las características y funciones del CSPM de Security Hub. Para obtener orientación y ejemplos, consulte la entrada del blog [Alineación de las políticas de IAM con las personas de los usuarios para AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.

## Acciones permitidas si integra con Organizations y usa la configuración centralizada
<a name="central-configuration-allowed-actions"></a>

Cuando se integra con Organizations y se utiliza la configuración centralizada, las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera.


|  Action  |  Cuenta de administrador delegado del CSPM de Security Hub  |  Cuenta de miembro administrada de forma centralizada  |  Cuenta de miembro autoadministrada  | 
| --- | --- | --- | --- | 
|  Creación y administración de políticas de configuración del CSPM de Security Hub  |  Para cuentas administradas automáticamente y de forma centralizada  |  –  |  –  | 
|  Visualización de cuentas de la organización  |  Cualquiera  |  –  |  –  | 
|  Desvincular cuenta de miembro  |  Cualquiera  |  –  |  –  | 
|  Eliminar cuenta de miembro  |  Cualquier cuenta que no sea de una organización  |  –  |  –  | 
|  Desactivación del CSPM de Security Hub  |  Para cuentas actuales y cuentas administradas de forma centralizada  |  –  |  Actuales (deben desasociarse de la cuenta de administrador)  | 
|  Vea los resultados y el historial de búsquedas  |  Cualquiera  |  Actuales  |  Actuales  | 
|  Actualizar los resultados  |  Cualquiera  |  Actuales  |  Actuales  | 
|  Ver los resultados de los hallazgos  |  Cualquiera  |  Actuales  |  Actuales  | 
|  Ver los detalles de control  |  Cualquiera  |  Actuales  |  Actuales  | 
|  Activación o desactivación de los resultados de control consolidados  |  Cualquiera  |  –  |  –  | 
|  Habilitar y deshabilitar estándares  |  Para cuentas actuales y cuentas administradas de forma centralizada  |  –  |  Actuales  | 
|  Habilitar y deshabilitar controles  |  Para cuentas actuales y cuentas administradas de forma centralizada  |  –  |  Actuales  | 
|  Habilitar y deshabilitar integraciones  |  Actuales  |  Actuales  |  Actuales  | 
|  Configurar agregación entre regiones  |  Cualquiera  |  –  |  –  | 
|  Selección de la región de origen y las regiones vinculadas  |  Cualquiera (debe detener y reiniciar la configuración centralizada para cambiar la región de origen)  |  –  |  –  | 
|  Configurar acciones personalizadas  |  Actuales  |  Actuales  |  Actuales  | 
|  Configurar reglas de automatización  |  Cualquiera  |  –  |  –  | 
|  Configurar hallazgos personalizados  |  Actuales  |  Actuales  |  Actuales  | 

## Acciones permitidas si integra con Organizations y usa la configuración local
<a name="orgs-allowed-actions"></a>

Las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera cuando se integra con Organizations y se utiliza la configuración local.


|  Action  |  Cuenta de administrador delegado del CSPM de Security Hub  |  Cuenta de miembro  | 
| --- | --- | --- | 
|  Creación y administración de políticas de configuración del CSPM de Security Hub  |  –  |  –  | 
|  Visualización de cuentas de la organización  |  Cualquiera  |  –  | 
|  Desvincular cuenta de miembro  |  Cualquiera  |  –  | 
|  Eliminar cuenta de miembro  |  –  |  –  | 
|  Desactivación del CSPM de Security Hub  |  –  |  Actual (si la cuenta está desasociada del administrador delegado)  | 
|  Vea los resultados y el historial de búsquedas  |  Cualquiera  |  Actuales  | 
|  Actualizar los resultados  |  Cualquiera  |  Actuales  | 
|  Ver los resultados de los hallazgos  |  Cualquiera  |  Actuales  | 
|  Ver los detalles de control  |  Cualquiera  |  Actuales  | 
|  Activación o desactivación de los resultados de control consolidados  |  Cualquiera  |  –  | 
|  Habilitar y deshabilitar estándares  |  Actuales  |  Actuales  | 
|  Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización  |  Para cuentas actuales y cuentas nuevas de la organización  |  –  | 
|  Habilitar y deshabilitar controles  |  Actuales  |  Actuales  | 
|  Habilitar y deshabilitar integraciones  |  Actuales  |  Actuales  | 
|  Configurar agregación entre regiones  |  Cualquiera  |  –  | 
|  Configurar acciones personalizadas  |  Actuales  |  Actuales  | 
|  Configurar reglas de automatización  |  Cualquiera  |  –  | 
|  Configurar hallazgos personalizados  |  Actuales  |  Actuales  | 

## Acciones permitidas para las cuentas basadas en invitaciones
<a name="manual-allowed-actions"></a>

Las cuentas de administrador y miembro pueden acceder a las acciones de CSPM de Security Hub de la siguiente manera si utiliza el método basado en invitaciones para administrar las cuentas manualmente en lugar de integrarlas con. AWS Organizations


|  Action  |  Cuenta de administrador del CSPM de Security Hub  |  Cuenta de miembro  | 
| --- | --- | --- | 
|  Creación y administración de políticas de configuración del CSPM de Security Hub  |  –  |  –  | 
|  Visualización de cuentas de la organización  |  Cualquiera  |  –  | 
|  Desvincular cuenta de miembro  |  Cualquiera  |  Actuales  | 
|  Eliminar cuenta de miembro  |  Cualquiera  |  –  | 
|  Desactivación del CSPM de Security Hub  |  Actual (si no hay cuentas de miembro habilitadas)  |  Actual (si la cuenta está desasociada de la cuenta de administrador)  | 
|  Vea los resultados y el historial de búsquedas  |  Cualquiera  |  Actuales  | 
|  Actualizar los resultados  |  Cualquiera  |  Actuales  | 
|  Ver los resultados de los hallazgos  |  Cualquiera  |  Actuales  | 
|  Ver los detalles de control  |  Cualquiera  |  Actuales  | 
|  Activación o desactivación de los resultados de control consolidados  |  Cualquiera  |  –  | 
|  Habilitar y deshabilitar estándares  |  Actuales  |  Actuales  | 
|  Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización  |  –  |  –  | 
|  Habilitar y deshabilitar controles  |  Actuales  |  Actuales  | 
|  Habilitar y deshabilitar integraciones  |  Actuales  |  Actuales  | 
|  Configurar agregación entre regiones  |  Cualquiera  |  –  | 
|  Configurar acciones personalizadas  |  Actuales  |  Actuales  | 
|  Configurar reglas de automatización  |  Cualquiera  |  –  | 
|  Configurar hallazgos personalizados  |  Actuales  |  Actuales  | 

# Efecto de las acciones de la cuenta en los datos del CSPM de Security Hub
<a name="securityhub-data-retention"></a>

Estas acciones de la cuenta tienen los siguientes efectos en los datos AWS de CSPM de Security Hub.

## Desactivación del CSPM de Security Hub
<a name="securityhub-effects-disable-securityhub"></a>

Si utiliza la [configuración central](central-configuration-intro.md), el administrador delegado (DA) puede crear políticas de configuración de CSPM del Security Hub que deshabiliten el CSPM del AWS Security Hub en cuentas y unidades organizativas específicas (). OUs En este caso, el CSPM de Security Hub está deshabilitado en las cuentas especificadas y OUs en tu región de origen y en cualquier región vinculada. Si no utiliza la configuración centralizada, debe desactivar el CSPM de Security Hub por separado en cada cuenta y región donde lo haya habilitado. No puede usar la configuración centralizada si el CSPM de Security Hub está desactivado en la cuenta del administrador delegado.

No se generan ni actualizan resultados para la cuenta de administrador si el CSPM de Security Hub está desactivado en esa cuenta. Los resultados archivados existentes se eliminan después de 30 días. Los resultados activos existentes se eliminan después de 90 días.

Se eliminan las integraciones con otras Servicios de AWS .

Los estándares de seguridad y controles habilitados se deshabilitan.

Otros datos y configuraciones del CSPM de Security Hub, incluidas las acciones personalizadas, la información y las suscripciones a productos de terceros, se retienen durante 90 días.

## Cuenta miembro disociada de la cuenta de administrador
<a name="securityhub-effects-member-disassociation"></a>

Cuando una cuenta miembro se desvincula de la cuenta de administrador, esta pierde el permiso para ver los resultados en la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas.

Si utiliza la configuración centralizada, el administrador delegado no puede configurar el CSPM de Security Hub para una cuenta de miembro que esté desasociada de la cuenta del administrador delegado.

La configuración personalizada o las integraciones definidas para la cuenta de administrador no se aplican a los resultados de la antigua cuenta de miembro. Por ejemplo, después de disociar las cuentas, es posible que tengas una acción personalizada en la cuenta de administrador utilizada como patrón de eventos en una EventBridge regla de Amazon. Sin embargo, esta acción personalizada no se puede utilizar en la cuenta de miembro.

En la lista **Cuentas** de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado **Desasociada**.

## Cómo eliminar una cuenta miembro de una organización
<a name="securityhub-effects-member-leaves-org"></a>

Cuando se elimina una cuenta de miembro de una organización, la cuenta de administrador del CSPM de Security Hub pierde el permiso para ver los resultados de la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas con la misma configuración que tenían antes de la eliminación.

Si utiliza la configuración centralizada, no puede configurar el CSPM de Security Hub para una cuenta de miembro después de que se haya eliminado de la organización a la que pertenece el administrador delegado. Sin embargo, la cuenta retiene la configuración que tenía antes de la eliminación, a menos que la cambie manualmente.

En la lista **Cuentas** de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado **Eliminada**.

## Cuenta suspendida
<a name="securityhub-effects-account-suspended"></a>

Cuando Cuenta de AWS se suspende una, la cuenta pierde el permiso para ver sus hallazgos en Security Hub CSPM. No se generan ni actualizan resultados para esa cuenta. La cuenta de administrador de una cuenta suspendida puede ver los resultados existentes de la cuenta.

En el caso de una cuenta de organización, el estado de la cuenta de miembro también puede cambiar a **Cuenta suspendida**. Esto sucede si la cuenta se suspende en el mismo momento en que la cuenta del administrador intenta habilitarla. La cuenta de administrador de una **Cuenta suspendida** no puede ver los resultados de esa cuenta. De lo contrario, el estado suspendido no afectará al estado de la cuenta miembro.

Si utiliza la configuración centralizada, se producirá un error en la asociación de políticas si el administrador delegado intenta asociar una política de configuración a una cuenta suspendida.

Transcurridos 90 días, la cuenta se termina o se reactiva. Cuando la cuenta se reactiva, se restauran sus permisos del CSPM de Security Hub. Si el estado de la cuenta de miembro es **Cuenta suspendida**, la cuenta del administrador debe habilitar la cuenta manualmente.

## Cuenta cerrada
<a name="securityhub-effects-account-deletion"></a>

Cuando un Cuenta de AWS está cerrado, el Security Hub CSPM responde al cierre de la siguiente manera.

Si la cuenta es una cuenta de administrador del CSPM de Security Hub, se elimina como cuenta de administrador y se eliminan todas las cuentas de miembro. Si la cuenta es una cuenta de miembro, se desasocia y se elimina como miembro de la cuenta de administrador del CSPM de Security Hub.

El CSPM de Security Hub retiene los resultados archivados existentes de la cuenta durante 30 días. En el caso de un resultado correspondiente a un control, el cálculo de los 30 días se basa en el valor del campo `UpdatedAt` del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo `UpdatedAt` o `ProcessedAt` del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 30 días, el CSPM de Security Hub elimina permanentemente el resultado de la cuenta.

El CSPM de Security Hub retiene los resultados activos existentes de la cuenta durante 90 días. En el caso de un resultado correspondiente a un control, el cálculo de los 90 días se basa en el valor del campo `UpdatedAt` del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo `UpdatedAt` o `ProcessedAt` del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 90 días, el CSPM de Security Hub elimina permanentemente el resultado de la cuenta.

Para retener los resultados existentes por un periodo más largo, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

**importante**  
En el caso de los clientes registrados AWS GovCloud (US) Regions, haz una copia de seguridad de los datos de tu póliza y otros recursos de la cuenta y los borra antes de cerrarla. No tendrá acceso a los recursos ni datos después de cerrar la cuenta.

Para obtener más información, consulte [Cerrar una Cuenta de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) en la *Guía de referencia de AWS Account Management *

# Descripción de la agregación entre regiones en el CSPM de Security Hub
<a name="finding-aggregation"></a>

**nota**  
La *región de agregación* ahora se denomina *región de origen*. Algunas operaciones de la API del CSPM de Security Hub aún utilizan el término anterior región de agregación.

Al utilizar la agregación entre regiones en AWS Security Hub CSPM, puede agregar hallazgos, encontrar actualizaciones, información, estados de cumplimiento de controles y puntajes de seguridad de varias regiones de origen Regiones de AWS a una sola. A continuación, puede administrar todos estos datos desde la región de origen.

Supongamos que establece este de EE. UU.(norte de Virginia) como región de origen y oeste de EE. UU. (Oregón) y oeste de EE. UU. (norte de California) como regiones vinculadas. Al ver la página **Resultados** en Este de EE. UU. (Norte de Virginia), verá los resultados de las tres regiones. Las actualizaciones de esos resultados también se reflejan en las tres regiones.

**nota**  
En AWS GovCloud (US), la agregación entre regiones solo se admite para los hallazgos, las actualizaciones de búsquedas y la información de todos los países. AWS GovCloud (US) En concreto, solo puede agregar los hallazgos, las actualizaciones y los conocimientos entre AWS GovCloud (EE. UU. este) y (EE. UU., oeste). AWS GovCloud En las regiones de China, solo se admite agregación entre regiones de los resultados, las actualizaciones de resultados y los hallazgos de las regiones de China. En concreto, solo puede agregar resultados, actualizaciones de resultados y hallazgos entre China (Pekín) y China (Ningxia).

Si un control está activado en una región vinculada pero deshabilitado en la región de origen, podrá ver el estado de conformidad del control desde la región de origen, pero no podrá habilitar ni deshabilitar ese control desde la región de origen. La única excepción es si se utiliza la [configuración centralizada](central-configuration-intro.md). Si utiliza la configuración centralizada, el administrador delegado del CSPM de Security Hub puede configurar controles en la región principal y en las regiones vinculadas desde la región principal.

Si ha establecido una región de origen, las [puntuaciones de seguridad](standards-security-score.md) tienen en cuenta los estados de control en todas las regiones vinculadas. Para ver las puntuaciones de seguridad y los estados de cumplimiento entre regiones, agregue los siguientes permisos al rol de IAM que usa el CSPM de Security Hub:
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## Tipos de datos que se agregan
<a name="finding-aggregation-overview"></a>

Cuando la agregación entre regiones está habilitada con una o más regiones vinculadas, el CSPM de Security Hub replica los siguientes datos desde las regiones vinculadas hacia la región de origen. Esto ocurre en todas las cuentas que tienen habilitada la agregación entre regiones.
+ Hallazgos
+ Información
+ Estados de control de la conformidad
+ Puntuaciones de seguridad

Además de los nuevos datos que aparecen en la lista anterior, el CSPM de Security Hub también replica las actualizaciones a estos datos entre las regiones vinculadas y la región de origen. Las actualizaciones que se producen en una región vinculada se replican en la región de origen. Las actualizaciones que se producen en la región de origen se replican de vuelta en la región vinculada. Si hay actualizaciones contradictorias en la región de origen y en la región vinculada, se utiliza la actualización más reciente.

![\[Cuando la agregación entre regiones está habilitada, el CSPM de Security Hub replica los resultados nuevos y actualizados entre las regiones vinculadas y la región de origen.\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


La agregación entre regiones no aumenta el costo del CSPM de Security Hub. No se le cobrará nada cuando el CSPM de Security Hub replique nuevos datos o actualizaciones.

En la región de origen, la página **Resumen** ofrece una vista de los resultados activos en las regiones vinculadas. Para más información, consulte [Visualización de un resumen de los resultados entre regiones por gravedad](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). Otros paneles de la página **Resumen** que analizan los resultados también muestran información de todas las regiones vinculadas.

Las puntuaciones de seguridad en la región de origen se calculan comparando el número de controles aprobados con el número de controles habilitados en todas las regiones vinculadas. Además, si un control está activado en al menos una región vinculada, estará visible en las páginas de detalles de las **normas de seguridad** de la región de origen. El estado de cumplimiento de los controles en las páginas de detalles de las normas refleja los resultados de las regiones vinculadas. Si un control de seguridad asociado a un control falla en una o más regiones vinculadas, el estado de conformidad de ese control aparece como **Con fallos** en las páginas de detalles de las normas de la región de origen. El número de controles de seguridad incluye los resultados de todas las regiones vinculadas.

El CSPM de Security Hub solo agrega datos de las regiones en las que haya alguna cuenta que tenga el CSPM de Security Hub habilitado. El CSPM de Security Hub no se habilita automáticamente para ninguna cuenta en función de la configuración de agregación entre regiones.

Es posible activar la agregación entre regiones sin seleccionar ninguna región vinculada. En este caso, no se replican los datos.

## Agregación de cuentas de administrador y de miembros
<a name="finding-aggregation-admin-member"></a>

La agregación entre regiones se configura mediante cuentas independientes, cuentas de miembros y cuentas de administrador. Si un administrador realiza la configuración, la presencia de la cuenta de administrador es esencial para que la agregación entre regiones funcione en las cuentas administradas. Si la cuenta de administrador se elimina o se desvincula de una cuenta de miembro, se detiene la agregación entre regiones para la cuenta de miembro. Esto se cumple incluso si la cuenta tenía activada la agregación entre regiones antes de que se iniciara la asociación administrador-miembro.

Cuando una cuenta de administrador habilita la agregación entre regiones, el CSPM de Security Hub replica en la región de origen los datos que la cuenta de administrador genera en todas las regiones vinculadas. Además, el CSPM de Security Hub identifica las cuentas de miembro asociadas a ese administrador, y cada una de estas hereda la configuración de agregación entre regiones del administrador. El CSPM de Security Hub replica en la región de origen los datos que una cuenta de miembro genera en todas las regiones vinculadas.

El administrador puede acceder a los resultados de seguridad y administrarlos desde todas las cuentas de miembros de las regiones administradas. Sin embargo, como administrador del CSPM de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de todas las cuentas de miembro y las regiones vinculadas.

Como cuenta de miembro del CSPM de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de la cuenta desde todas las regiones vinculadas. Las cuentas de miembros no tienen permisos para ver los datos de otras cuentas de miembros.

Una cuenta de administrador puede invitar manualmente a las cuentas de los miembros o actuar como administradora delegada de una organización con la que esté integrada. AWS Organizations En el caso de una [cuenta de miembro invitada de forma manual](account-management-manual.md), el administrador debe invitar a la cuenta de la región de origen y de todas las regiones vinculadas para que la agregación entre regiones funcione. Además, la cuenta de miembro debe tener habilitado el CSPM de Security Hub en la región de origen y en todas las regiones vinculadas para que el administrador pueda ver los resultados de la cuenta de miembro. Si no utiliza la región de origen para otros fines, puede desactivar los estándares e integraciones del CSPM de Security Hub en esa región para evitar cargos.

Si tiene pensado utilizar la agregación entre regiones y posee varias cuentas de administrador, se recomienda que siga estas prácticas:
+ Cada cuenta de administrador tiene cuentas de miembro diferentes.
+ Cada cuenta de administrador tiene las mismas cuentas de miembro en todas las regiones.
+ Cada cuenta de administrador utiliza una región de origen diferente.

**nota**  
Para entender el impacto de la agregación entre regiones en la configuración centralizada, consulte [Impacto de la configuración centralizada en la agregación entre regiones](aggregation-central-configuration.md).

# Impacto de la configuración centralizada en la agregación entre regiones
<a name="aggregation-central-configuration"></a>

La configuración central es una función opcional de AWS Security Hub CSPM que puede utilizar si se integra con. AWS Organizations Con la configuración centralizada, la cuenta de administrador delegado puede configurar el servicio CSPM de Security Hub, así como los estándares y controles, para las cuentas y las unidades organizativas (UO) de la organización. Para configurar las cuentas OUs, el administrador delegado crea políticas de configuración CSPM de Security Hub. Las políticas de configuración se pueden utilizar para definir si el CSPM de Security Hub está habilitado o desactivado, así como qué estándares y controles se habilitan. El administrador delegado asocia las políticas de configuración a cuentas específicas o a la raíz (toda la organización). OUs

El administrador delegado puede crear y administrar políticas de configuración para la organización solo desde la región de origen. Además, las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. No puede crear una política de configuración que se aplique exclusivamente a algunas regiones vinculadas. Para obtener información sobre la agregación entre regiones, consulte [Agregación entre regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).

Para utilizar la configuración centralizada, debe designar una región de origen. Si lo desea, puede elegir una o más regiones como regiones vinculadas. También puede optar por designar una región de origen sin ninguna región vinculada.

Cambiar la configuración de la agregación entre regiones puede afectar a las políticas de configuración. Al agregar una región vinculada, las políticas de configuración se aplican en esa región. Si la región es una [región opcional](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html), debe estar habilitada para que las políticas de configuración se apliquen allí. Por el contrario, al eliminar una región vinculada, las políticas de configuración dejan de tener efecto en esa región. En esa región, las cuentas mantienen la configuración que tenían cuando se eliminó la región vinculada. Puede cambiar esa configuración, pero debe hacerlo por separado en cada cuenta y región.

Si elimina o cambia la región de origen, se eliminarán las políticas de configuración y las asociaciones de políticas. Ya no podrá utilizar la configuración centralizada ni crear políticas de configuración en ninguna región. Las cuentas mantienen la configuración que tenían antes de que se cambiara o eliminara la región de origen. Puede cambiar esa configuración en cualquier momento, pero, como ya no utiliza la configuración centralizada, la configuración debe modificarse por separado en cada cuenta y región. Puede utilizar la configuración centralizada y volver a crear políticas de configuración si designa una nueva región de origen.

Para obtener más información acerca de la configuración centralizada, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

# Habilitación de agregación entre regiones
<a name="finding-aggregation-enable"></a>

**nota**  
La *región de agregación* ahora se denomina *región de origen*. Algunas operaciones de la API del CSPM de Security Hub aún utilizan el término anterior región de agregación.

Debe habilitar la agregación entre regiones desde la Región de AWS que desee designar como región de origen.

Para habilitar la agregación entre regiones, cree un recurso del CSPM de Security Hub que se denomina agregador de resultados. El recurso del agregador de resultados especifica su región de origen y las regiones vinculadas (si las hubiera).

No puedes usar una región Región de AWS que esté deshabilitada de forma predeterminada como región de origen. Para obtener una lista de regiones que están deshabilitadas de forma predeterminada, consulte [Habilitar una región](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Referencia general de AWS*.

Cuando activa la agregación entre regiones, puede especificar una o más regiones vinculadas si lo desea. También puede elegir si desea vincular automáticamente las nuevas regiones cuando el CSPM de Security Hub comience a admitirlas y usted ya se haya suscrito a estas.

------
#### [ Security Hub CSPM console ]

**Cómo habilitar la agregación entre regiones**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Con el Región de AWS selector, inicie sesión en la región que desee usar como región de agregación.

1. En el menú de navegación del CSPM de Security Hub, seleccione **Configuración** y, a continuación, **Regiones**.

1. En **Agregación de resultados**, elija **Configuración de la agregación de resultados**.

   De forma predeterminada, la región de origen aparece como **Sin región de agregación**.

1. En **Región de agregación**, seleccione la opción para designar la región actual como región de origen.

1. De forma opcional, en **Regiones vinculadas**, seleccione las regiones desde las que desea agregar datos.

1. Para agregar automáticamente los datos de nuevas regiones de la partición a medida que el CSPM de Security Hub las admita y usted se suscriba a ellas, seleccione **Vincular futuras regiones**.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

Desde la región que desee utilizar como región de origen, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)comando.

En `RegionLinkingMode`, elija una de las siguientes opciones:
+ `ALL_REGIONS`: el CSPM de Security Hub agrega datos de todas las regiones. El CSPM de Security Hub también agrega datos de las nuevas regiones a medida que las admite y usted se suscribe a estas.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`: el CSPM de Security Hub agrega datos de todas las regiones, excepto aquellas que desee excluir. El CSPM de Security Hub también agrega datos de las nuevas regiones a medida que las admite y usted se suscribe a estas. Utilice `Regions` para proporcionar la lista de regiones que se van a excluir de la agregación.
+ `SPECIFIED_REGIONS`: el CSPM de Security Hub agrega datos de una lista seleccionada de regiones. El CSPM de Security Hub no agrega automáticamente los datos de las nuevas regiones. Se utiliza `Regions` para proporcionar la lista de regiones desde las que agregar.
+ `NO_REGIONS`: el CSPM de Security Hub no agrega datos si no selecciona ninguna región vinculada.

En el siguiente ejemplo, se configura la agregación entre regiones. La región de origen es este de EE. UU. (norte de Virginia). Las regiones vinculadas son Oeste de EE. UU. (Norte de California) y Oeste de EE. UU. (Oregón). Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Revisión de la configuración de agregación entre regiones
<a name="finding-aggregation-view-config"></a>

**nota**  
La *región de agregación* ahora se denomina *región de origen*. Algunas operaciones de la API del CSPM de Security Hub aún utilizan el término anterior región de agregación.

Puede ver la configuración actual de agregación entre regiones en AWS Security Hub CSPM desde cualquier lugar. Región de AWS La configuración incluye la región de origen, las regiones vinculadas (si las hay) y si se vinculan automáticamente las nuevas regiones a medida que el CSPM de Security Hub las admita.

Las cuentas de miembro pueden ver la configuración de agregación entre regiones que configuró la cuenta de administrador.

Elija su método preferido y siga estos pasos para ver su configuración actual de agregación entre regiones.

------
#### [ Security Hub CSPM console ]

**Para ver la configuración de agregación entre regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Configuración** y, luego, la pestaña **Regiones**.

Si la agregación entre regiones no está habilitada, la pestaña **Regiones** muestra la opción para habilitar la agregación entre regiones. Solo las cuentas de administrador y las cuentas independientes pueden habilitar la agregación entre regiones.

Si la agregación entre regiones está habilitada, la pestaña **Regiones** muestra la siguiente información:
+ La región de origen
+ Si se debe agregar de forma automática los resultados, la información, los estados de los controles y las puntuaciones de seguridad provenientes de las nuevas regiones que el CSPM de Security Hub admite y a las que usted se suscribe.
+ La lista de regiones vinculadas (si se selecciona alguna)

------
#### [ Security Hub CSPM API ]

**Para revisar la configuración de agregación entre regiones (API del CSPM de Security Hub)**

Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)comando.

Al realizar la solicitud, proporcione el ARN del agregador de resultados. Para obtener el ARN del agregador de resultados, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) o el comando [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

El siguiente ejemplo muestra la configuración de agregación entre regiones para el ARN del agregador de resultados especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# Actualización de la configuración de agregación entre regiones
<a name="finding-aggregation-update"></a>

**nota**  
La *región de agregación* ahora se denomina *región de origen*. Algunas operaciones de la API del CSPM de Security Hub aún utilizan el término anterior región de agregación.

Puede actualizar su configuración actual de agregación entre regiones en AWS Security Hub CSPM cambiando las regiones vinculadas o la región de origen actual. También puede cambiar si desea agregar automáticamente los datos de los nuevos Regiones de AWS que sean compatibles con el CSPM de Security Hub.

Los cambios en la agregación entre regiones no se implementan en una región opcional hasta que habilite la región en su Cuenta de AWS. Las regiones que AWS se introdujeron el 20 de marzo de 2019 o con posterioridad son regiones que se suscriben de forma voluntaria.

Cuando dejas de agregar datos de una región vinculada, AWS Security Hub CSPM no elimina ningún dato agregado existente de esa región al que se pueda acceder en la región de origen.

No puede usar los procedimientos de actualización de esta sección para cambiar la región de origen. Para cambiar la región de origen, se debe hacer lo siguiente:

1. Detenga la agregación entre regiones. Para obtener instrucciones, consulte [Detención de la agregación entre regiones](finding-aggregation-stop.md).

1. Cambie a la región que desea que sea la nueva región de origen.

1. Habilitación de agregación entre regiones. Para obtener instrucciones, consulte [Habilitación de agregación entre regiones](finding-aggregation-enable.md).

Debe actualizar la configuración de agregación entre regiones desde la región de origen actual.

------
#### [ Security Hub CSPM console ]

**Para cambiar las regiones vinculadas**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en la región de agregación actual.

1. En el menú de navegación del CSPM de Security Hub, seleccione **Configuración** y, a continuación, **Regiones**.

1. Para la opción **Agregación de resultados**, seleccione **Editar**.

1. Para la opción **Regiones vinculadas**, actualice las regiones vinculadas seleccionadas.

1. Si es necesario, cambie la selección de **Vincular regiones futuras**. Esta configuración determina si el CSPM de Security Hub vincula automáticamente las nuevas regiones a medida que las admite y usted se suscribe a ellas.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

Utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html). Si usa el AWS CLI, ejecute el [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)comando. Para identificar el agregador de resultados, debe proporcionar el ARN de este. Para obtener el ARN del agregador de búsquedas, utilice [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)la operación o el comando.. [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)

Si el modo de enlace es `ALL_REGIONS_EXCEPT_SPECIFIED` o `SPECIFIED_REGIONS`, puede cambiar la lista de regiones excluidas o incluidas. Si quiere cambiar el modo de enlace de regiones a `NO_REGIONS`, no debe proporcionar una lista de regiones.

Al cambiar la lista de regiones excluidas o incluidas, debe proporcionar la lista completa con las actualizaciones. Por ejemplo, supongamos que actualmente agrega los resultados de Este de EE. UU. (Ohio) y desea agregar también los resultados de Oeste de EE. UU. (Oregón). Debe proporcionar una lista de `Regions` que contenga tanto el este de EE. UU. (Ohio) como el oeste de EE. UU. (Oregón).

En el siguiente ejemplo, se actualiza la agregación entre regiones para las regiones seleccionadas. El comando se ejecuta desde la región de origen actual, que es este de EE. UU. (norte de Virginia). Las regiones vinculadas son Oeste de EE. UU. (Norte de California) y Oeste de EE. UU. (Oregón). Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Detención de la agregación entre regiones
<a name="finding-aggregation-stop"></a>

**nota**  
La *región de agregación* ahora se denomina *región de origen*. Algunas operaciones de la API del CSPM de Security Hub aún utilizan el término anterior región de agregación.

Si no quieres que AWS Security Hub CSPM agregue datos, puedes eliminar tu agregador de búsquedas. Como alternativa, puedes conservar tu agregador de búsquedas pero no vincular ninguno Regiones de AWS a la región de origen actualizando el agregador existente al modo de enlace. `NO_REGIONS`

Para cambiar su región de origen, debe eliminar su agregador de resultados actual y crear uno nuevo.

Al eliminar el agregador de resultados, el CSPM de Security Hub deja de agregar datos. No elimina ningún dato agregado existente de la región de origen.

## Para eliminar el agregador de resultados (consola)
<a name="finding-aggregation-stop-console"></a>

Puede eliminar su agregador de resultados únicamente desde la región de origen actual.

En las regiones distintas de la región de origen, el panel **Agregación de resultados** en la consola del CSPM de Security Hub muestra un mensaje en el que se indica que debe editar la configuración en la región de origen. Seleccione este mensaje para mostrar un enlace para cambiar a la región de origen.

------
#### [ Security Hub CSPM console ]

**Para detener la agregación entre regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Asegúrese de que haya iniciado sesión en su región de origen actual.

1. En el menú de navegación del CSPM de Security Hub, seleccione **Configuración** y, a continuación, **Regiones**.

1. En **Agregación de resultados**, seleccione **Editar**.

1. En **Región de agregación**, elija **Sin región de agregación**.

1. Seleccione **Save**.

1. En el cuadro de diálogo de confirmación, en el campo de confirmación, escriba **Confirm**.

1. Elija **Confirmar**.

------
#### [ Security Hub CSPM API ]

Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)comando.

Para identificar el agregador de resultados que va a eliminar, proporcione el ARN de este. Para obtener el ARN del agregador de resultados, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) o el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

En el siguiente ejemplo, se elimina el agregador de resultados. El comando se ejecuta desde la región de origen actual, que es este de EE. UU. (norte de Virginia). Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Descripción de los estándares de seguridad en el CSPM de Security Hub
<a name="standards-view-manage"></a>

En AWS Security Hub CSPM, un *estándar de seguridad* es un conjunto de requisitos que se basa en los marcos normativos, las mejores prácticas del sector o las políticas de la empresa. Para obtener información sobre los estándares que admite actualmente el CSPM de Security Hub, incluidos los controles de seguridad que se aplican a cada uno, consulte [Referencia de estándares para el CSPM de Security Hub](standards-reference.md).

Cuando habilita un estándar, el CSPM de Security Hub habilita automáticamente todos los controles que se aplican a ese estándar. El CSPM de Security Hub ejecuta después las comprobaciones de seguridad correspondientes a esos controles, lo que genera resultados del CSPM de Security Hub. Puede desactivar controles individuales y volver a habilitarlos cuando sea necesario. También puede desactivar un estándar por completo. Si desactiva un estándar, el CSPM de Security Hub deja de ejecutar comprobaciones de seguridad respecto a los controles asociados a ese estándar. En ese caso, ya no se generan resultados para esos controles.

Además de los resultados, el CSPM de Security Hub genera un puntaje de seguridad para cada estándar que habilite. El puntaje se basa en el estado de los controles que se aplican al estándar. Si configura una región de agregación, el puntaje de seguridad de un estándar refleja el estado de los controles en todas las regiones vinculadas. Si es el administrador del CSPM de Security Hub para una organización, el puntaje refleja el estado de los controles de todas las cuentas de la organización. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

Para revisar y administrar los estándares, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub. En la consola, la página **Estándares de seguridad** muestra todos los estándares de seguridad que el CSPM de Security Hub admite actualmente. Esta página incluye una descripción de cada estándar y el estado actual del estándar. Si habilita un estándar, también puede usar esta página para acceder a detalles adicionales del estándar. Por ejemplo, puede revisar lo siguiente:
+ El puntaje de seguridad actual del estándar.
+ Las estadísticas agregadas de los controles que se aplican al estándar.
+ La lista de controles que se aplican al estándar y que están habilitados actualmente, incluido el estado de cumplimiento de cada control.
+ La lista de controles que se aplican al estándar pero que están desactivados actualmente.

Para un análisis más detallado, puede filtrar y ordenar los datos y profundizar en los detalles de los controles individuales que se aplican al estándar.

Puede activar los estándares de forma individual para una sola cuenta y. Región de AWS Sin embargo, para ahorrar tiempo y evitar desviaciones de configuración en entornos con múltiples cuentas y regiones, recomendamos usar una [configuración centralizada](central-configuration-intro.md) para habilitar y administrar los estándares. Con una configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas que definan cómo configurar un estándar en varias cuentas y regiones.

**Topics**
+ [Referencia de estándares](standards-reference.md)
+ [Habilitación de un estándar](enable-standards.md)
+ [Revisión de los detalles de un estándar](securityhub-standards-view-controls.md)
+ [Desactivar los estándares con habilitación automática](securityhub-auto-enabled-standards.md)
+ [Desactivación de un estándar](disable-standards.md)

# Referencia de estándares para el CSPM de Security Hub
<a name="standards-reference"></a>

En AWS Security Hub CSPM, un *estándar de seguridad* es un conjunto de requisitos que se basa en los marcos normativos, las mejores prácticas del sector o las políticas de la empresa. El CSPM de Security Hub asigna estos requisitos a controles y ejecuta comprobaciones de seguridad respecto a estos para verificar si se cumplen los requisitos del estándar. Cada estándar incluye varios controles.

El CSPM de Security Hub admite actualmente los siguientes estándares:
+ **AWS Mejores prácticas fundamentales de seguridad**: desarrollado por profesionales del sector AWS y desarrollado por profesionales del sector, es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente de su sector o tamaño. Proporciona un conjunto de controles que detectan cuándo usted Cuentas de AWS y sus recursos se desvían de las mejores prácticas de seguridad. También ofrece orientación prescriptiva sobre cómo mejorar y mantener la posición de seguridad.
+ **AWS Etiquetado de recursos**: desarrollado por Security Hub CSPM, este estándar puede ayudarlo a determinar si sus AWS recursos tienen etiquetas. Una *etiqueta* es un par clave-valor que actúa como metadatos de un recurso. AWS Las etiquetas pueden ayudarle a identificar, categorizar, administrar y buscar recursos. AWS Por ejemplo, puede usar etiquetas para categorizar recursos por finalidad, propietario o entorno.
+ **CIS AWS Foundations Benchmark**: desarrollado por el Centro de Seguridad de Internet (CIS), este estándar proporciona pautas de configuración segura para AWS. Especifica un conjunto de pautas de configuración de seguridad y mejores prácticas para un subconjunto de recursos Servicios de AWS y hace hincapié en las configuraciones fundamentales, comprobables y independientes de la arquitectura. Las directrices incluyen procedimientos claros de step-by-step implementación y evaluación.
+ **Revisión 5 de NIST SP 800-53**: este estándar se alinea con los requisitos del National Institute of Standards and Technology (NIST) para proteger la confidencialidad, la integridad y la disponibilidad de los sistemas de información y de los recursos críticos. El marco asociado se aplica, por lo general, a agencias federales de los Estados Unidos o a organizaciones que trabajan con agencias federales de ese país o con sus sistemas de información. No obstante, las organizaciones privadas también pueden usar estos requisitos como marco de orientación.
+ **Revisión 2 de NIST SP 800-171**: este estándar se alinea con las recomendaciones y los requisitos de seguridad del NIST para proteger la confidencialidad de la información no clasificada controlada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. La *CUI* es información que no cumple los criterios gubernamentales para clasificación, pero se considera confidencial y la crea o posee el Gobierno federal de los Estados Unidos o entidades que actúan en su nombre.
+ **PCI DSS**: este estándar se alinea con el marco de cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), definido por el PCI Security Standards Council (SSC). El marco proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y de débito. El marco se aplica, por lo general, a organizaciones que almacenan, tratan o transmiten datos de titulares de tarjetas.
+ **Estándar gestionado por servicios AWS Control Tower**: este estándar le ayuda a configurar los controles de detección proporcionados por Security Hub CSPM desde. AWS Control Tower AWS Control Tower ofrece una forma sencilla de configurar y gobernar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.

Los estándares y controles del CSPM de Security Hub no garantizan el cumplimiento de marcos normativos ni de auditorías. En su lugar, proporcionan una forma de evaluar y supervisar el estado de los recursos y Cuentas de AWS . Recomendamos habilitar cada estándar que resulte pertinente para las necesidades de su negocio, su sector o su caso de uso.

Los controles individuales se pueden aplicar a más de un estándar. Si habilita varios estándares, recomendamos habilitar también los resultados consolidados de controles. Si hace esto, el CSPM de Security Hub genera un único resultado por cada control, incluso si el control se aplica a más de un estándar. Si no activa los resultados consolidados de controles, el CSPM de Security Hub genera un resultado independiente por cada estándar habilitado al que se aplique un control. Por ejemplo, si habilita dos estándares y un control se aplica a ambos, recibe dos resultados separados para el control, uno por cada estándar. Si habilita los resultados consolidados de controles, recibe un único resultado para el control. Para obtener más información, consulte [Resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Mejores prácticas de seguridad fundamentales](fsbp-standard.md)
+ [AWS Etiquetado de recursos](standards-tagging.md)
+ [Punto de referencia sobre fundaciones CIS AWS](cis-aws-foundations-benchmark.md)
+ [Revisión 5 de NIST SP 800-53](standards-reference-nist-800-53.md)
+ [Revisión 2 de NIST SP 800-171](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Estándar de gestión de servicios](service-managed-standards.md)

# AWS Estándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM)
<a name="fsbp-standard"></a>

Desarrollado por profesionales de la industria AWS y desarrollado por profesionales del sector, el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente del sector o tamaño de la organización. Proporciona un conjunto de controles que detectan cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad. También ofrece directrices prescriptivas sobre cómo mejorar y mantener la posición de seguridad de la organización.

En AWS Security Hub CSPM, el estándar de mejores prácticas de seguridad AWS fundamentales incluye controles que evalúan continuamente sus cargas de trabajo y las de usted, Cuentas de AWS y lo ayudan a identificar las áreas que se desvían de las mejores prácticas de seguridad. Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control se le asigna una categoría que refleja la función de seguridad a la que se aplica el control. Para ver la lista de categorías y obtener más detalles, consulte [Categorías de controles](control-categories.md).

## Controles que se aplican al estándar
<a name="fsbp-controls"></a>

La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar AWS Foundational Security Best Practices (v1.0.0). Para revisar los detalles de un control, seleccione el control.

 [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 

 [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 

 [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 

 [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 

 [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 

 [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 

 [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 

 [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 

 [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 

 [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 

 [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 

 [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 

 [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 

 [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 

 [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 

 [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 

 [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 

 [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 

 [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 

 [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 

 [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 

 [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 

 [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 

 [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo](ec2-controls.md#ec2-3) 

 [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 

 [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) 

 [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16) 

 [[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18) 

 [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19) 

 [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 

 [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 

 [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 

 [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 

 [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 

 [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 

 [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 

 [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 

 [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 

 [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 

 [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) 

 [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2) 

 [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 

 [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 

 [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 

 [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 

 [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 

 [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 

 [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 

 [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 

 [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 

 [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 

 [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 

 [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 

 [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 

 [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1) 

 [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 

 [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 

 [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 

 [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3) 

 [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4) 

 [[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado](elb-controls.md#elb-5) 

 [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6) 

 [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) 

 [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas](elb-controls.md#elb-9) 

 [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 

 [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 

 [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 

 [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 

 [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 

 [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 

 [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 

 [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 

 [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 

 [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 

 [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 

 [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 

 [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 

 [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 

 [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 

 [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 

 [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5) 

 [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6) 

 [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7) 

 [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8) 

 [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 

 [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 

 [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 

 [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 

 [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 

 [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 

 [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 

 [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 

 [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3) 

 [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 

 [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 

 [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) 

 [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 

 [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 

 [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) 

 [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 

 [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 

 [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 

 [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 

 [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 

 [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 

 [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 

 [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 

 [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 

 [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 

 [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 

 [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 

 [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 

 [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 

 [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 

 [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 

 [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 

 [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 

 [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 

 [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 

 [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 

 [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 

 [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 

 [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 

 [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4) 

 [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5) 

 [Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]](rds-controls.md#rds-6) 

 [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) 

 [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8) 

 [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9) 

 [La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS](rds-controls.md#rds-10) 

 [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11) 

 [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12) 

 [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13) 

 [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 

 [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 

 [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 

 [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17) 

 [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19) 

 [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20) 

 [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21) 

 [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22) 

 [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23) 

 [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 

 [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 

 [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 

 [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 

 [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 

 [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 

 [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 

 [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 

 [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 

 [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 

 [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 

 [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 

 [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 

 [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 

 [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 

 [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 

 [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 

 [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 

 [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 

 [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 

 [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 

 [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 

 [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 

 [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6) 

 [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 

 [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9) 

 [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 

 [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 

 [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 

 [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 

 [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 

 [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 

 [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 

 [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 

 [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 

 [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 

 [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 

 [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 

 [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 

 [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 

 [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 

 [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 

 [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 

 [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 

 [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 

 [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 

 [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

# AWS Estándar de etiquetado de recursos en Security Hub (CSPM)
<a name="standards-tagging"></a>

El estándar AWS de etiquetado de recursos, desarrollado por AWS Security Hub CSPM, le ayuda a determinar si faltan etiquetas en sus AWS recursos. Las *etiquetas* son pares clave-valor que actúan como metadatos para organizar los recursos. AWS En la mayoría de los recursos de AWS , puede agregar etiquetas al recurso cuando lo crea o después de crearlo. Algunos ejemplos de recursos incluyen CloudFront distribuciones de Amazon, instancias de Amazon Elastic Compute Cloud (Amazon EC2) y secrets in. AWS Secrets Manager Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar AWS los recursos.

Cada etiqueta de tiene dos partes:
+ Una clave de etiqueta, por ejemplo, `CostCenter`, `Environment`, o `Project`. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.
+ Un valor de etiqueta, por ejemplo, `111122223333` o `Production`. Al igual que las claves de etiquetas, los valores de las etiquetas distinguen mayúsculas de minúsculas.

Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo añadir etiquetas a AWS los recursos, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Para cada control que se aplique al estándar de etiquetado de AWS recursos de Security Hub CSPM, puede utilizar opcionalmente el parámetro compatible para especificar las claves de etiqueta que desea que compruebe el control. Si no especifica ninguna clave de etiqueta, el control verifica únicamente la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna.

Antes de habilitar el estándar AWS de etiquetado de recursos, es importante habilitar y configurar el registro de recursos en. AWS Config Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte [ AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md).

Tras activar el estándar de etiquetado de AWS recursos, empezará a recibir información sobre los controles que se aplican al estándar. Tenga en cuenta que Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

El estándar de etiquetado de AWS recursos tiene el siguiente nombre de recurso de Amazon (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* donde es el código de región correspondiente. Región de AWS También puede utilizar el [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funcionamiento de la API CSPM de Security Hub para recuperar el ARN de un estándar que esté habilitado actualmente.

**nota**  
El [estándar de etiquetado de recursos de AWS](#standards-tagging) no está disponible en las regiones de Asia-Pacífico (Nueva Zelanda) y Asia-Pacífico (Taipéi).

## Controles que se aplican al estándar
<a name="tagging-standard-controls"></a>

La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar de etiquetado de AWS recursos (v1.0.0). Para revisar los detalles de un control, seleccione el control.
+ [[ACM.3] Los certificados ACM deben estar etiquetados](acm-controls.md#acm-3)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2)
+ [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3)
+ [[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [[Backup.3] las AWS Backup bóvedas deben estar etiquetadas](backup-controls.md#backup-3)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados](backup-controls.md#backup-5)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-33)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.35] Las interfaces de red de EC2 deben etiquetarse](ec2-controls.md#ec2-35)
+ [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36)
+ [[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse](ec2-controls.md#ec2-37)
+ [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38)
+ [[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse](ec2-controls.md#ec2-39)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.41] La red EC2 debe estar etiquetada ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse](ec2-controls.md#ec2-42)
+ [[EC2.43] Los grupos de seguridad de EC2 deben etiquetarse](ec2-controls.md#ec2-43)
+ [[EC2.44] Las subredes de EC2 deben etiquetarse](ec2-controls.md#ec2-44)
+ [[EC2.45] Los volúmenes de EC2 deben etiquetarse](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs debe estar etiquetado](ec2-controls.md#ec2-46)
+ [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47)
+ [[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-48)
+ [[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-49)
+ [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50)
+ [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECS.13] Los servicios de ECS deben estar etiquetados](ecs-controls.md#ecs-13)
+ [[ECS.14] Los clústeres de ECS deben etiquetarse](ecs-controls.md#ecs-14)
+ [[ECS.15] Las definiciones de tareas de ECS deben etiquetarse](ecs-controls.md#ecs-15)
+ [[EFS.5] Los puntos de acceso de EFS deben etiquetarse](efs-controls.md#efs-5)
+ [[EKS.6] Los clústeres de EKS deben etiquetarse](eks-controls.md#eks-6)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas](networkfirewall-controls.md#networkfirewall-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28)
+ [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29)
+ [[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-30)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-32)
+ [[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-33)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse](redshift-controls.md#redshift-12)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-14)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SNS.3] Los temas de SNS deben etiquetarse](sns-controls.md#sns-3)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)

# CIS AWS Foundations es el punto de referencia en Security Hub (CSPM)
<a name="cis-aws-foundations-benchmark"></a>

El Center for Internet Security (CIS) AWS Foundations Benchmark sirve como un conjunto de mejores prácticas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos claros de step-by-step implementación y evaluación. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización. 

AWS Security Hub CSPM es compatible con las versiones 5.0.0, 3.0.0, 1.4.0 y 1.2.0 de CIS AWS Foundations Benchmark. Esta página enumera los controles de seguridad que admite cada versión. También ofrece una comparación entre las versiones.

## CIS Foundations Benchmark, versión 5.0.0 AWS
<a name="cis5v0-standard"></a>

Security Hub CSPM es compatible con la versión 5.0.0 (v5.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v5.0.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v5.0.0, nivel 2

### Controles que se aplican a la versión 5.0.0 de CIS AWS Foundations Benchmark
<a name="cis5v0-controls"></a>

[[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)

[[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)

[[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)

[[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)

[[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)

[Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark, versión 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM es compatible con la versión 3.0.0 (v3.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 2

### Controles que se aplican a la versión 3.0.0 de CIS AWS Foundations Benchmark
<a name="cis3v0-controls"></a>

[[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)

[[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)

[[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)

[[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark, versión 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM es compatible con la versión 1.4.0 (v1.4.0) del CIS Foundations Benchmark. AWS 

### Controles que se aplican a la versión 1.4.0 de CIS Foundations Benchmark AWS
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 

 [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 

 [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 

 [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

 [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 

 [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark, versión 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM es compatible con la versión 1.2.0 (v1.2.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 2

### Controles que se aplican a la versión 1.2.0 de CIS AWS Foundations Benchmark
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 

 [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 

 [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 

 [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 

 [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 

 [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 

 [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 

 [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

## Comparación de versiones de CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

En esta sección se resumen las diferencias entre las versiones específicas del Center for Internet Security (CIS) AWS Foundations Benchmark: v5.0.0, v3.0.0, v1.4.0 y v1.2.0. AWS Security Hub CSPM es compatible con cada una de estas versiones del CIS AWS Foundations Benchmark. Sin embargo, recomendamos usar la versión 5.0.0 para mantener actualizadas las prácticas recomendadas de seguridad. Puede tener habilitadas varias versiones de los estándares de CIS AWS Foundations Benchmark al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Si desea actualizar a la versión 5.0.0, habilítela antes de desactivar una versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. [Si utiliza la integración CSPM de Security Hub con varias cuentas AWS Organizations y desea habilitarla por lotes en varias cuentas, le recomendamos que utilice la configuración central.](central-configuration-intro.md)

### Asignación de los controles a los requisitos del CIS en cada versión
<a name="cis-version-comparison"></a>

Comprenda qué controles admite cada versión del CIS AWS Foundations Benchmark.


| ID y título de control | Requisito CIS v5.0.0 | Requisito del CIS v3.0.0 | Requisito del CIS v1.4.0 | Requisito del CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  3.1  | 
|  [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  3.2  | 
|  [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2,5  | 
|  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  No compatible  | 
|  [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  No admitido  |  No admitido  | 
|  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  |  No compatible: se sustituyó por los requisitos 5.3 y 5.4  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  4.1  | 
|  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  |  No compatible: se sustituyó por los requisitos 5.3 y 5.4  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  4.2  | 
|  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  No compatible  | 
|  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  No admitido  |  No admitido  | 
|  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  No admitido  |  No admitido  | 
|  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  No admitido  |  No admitido  | 
|  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)  |  2.3.1  |  No admitido  |  No admitido  |  No admitido  | 
|  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)  |  No admitido   |  No admitido   |  1.16  |  1.22  | 
|  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)  |  1.14  |  1.15  |  No compatible  |  1.16  | 
|  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  1.3  | 
|  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.5  | 
|  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.6  | 
|  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.7  | 
|  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.8  | 
|  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.11  | 
|  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Evite el uso del usuario raíz](iam-controls.md#iam-20)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.1  | 
|  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)  |  1.18  |  1.19  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1.22  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)  |  1.19  |  1,20  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  | 
|  [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5)  |  2.2.4  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)  |  2.2.4  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 

### ARNs para los puntos de referencia de la AWS Fundación CIS
<a name="cisv1.4.0-finding-fields"></a>

Cuando habilita una o más versiones del índice de referencia de CIS AWS Foundations, comienza a recibir los resultados en el formato de búsqueda de AWS seguridad (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):

**CIS AWS Foundations Benchmark, versión 5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Referencia sobre AWS fundaciones de la CEI, versión 3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Punto de referencia sobre AWS fundaciones de la CEI v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Índice de referencia sobre AWS fundaciones CIS v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Puede utilizar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) de la API del CSPM de Security Hub para averiguar el ARN de un estándar habilitado.

Los valores anteriores son para `StandardsArn`. Sin embargo, `StandardsSubscriptionArn` hace referencia al recurso de suscripción estándar que el CSPM de Security Hub crea cuando se suscribe a un estándar mediante una llamada a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) en una región.

**nota**  
Al habilitar una versión del CIS AWS Foundations Benchmark, Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información sobre el programa para generar resultados de control, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte [Impacto de la consolidación en los campos y valores ASFF](asff-changes-consolidation.md). Para ver ejemplos de los resultados de los controles, consulte [Ejemplos de resultados de controles](sample-control-findings.md).

### Requisitos del CIS que no se admiten en el CSPM de Security Hub
<a name="securityhub-standards-cis-checks-not-supported"></a>

Como se indica en la tabla anterior, el Security Hub CSPM no admite todos los requisitos de CIS en todas las versiones del CIS AWS Foundations Benchmark. Muchos de los requisitos no compatibles solo se pueden evaluar de forma manual al revisar el estado de los recursos de AWS .

# Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub
<a name="standards-reference-nist-800-53"></a>

La Publicación Especial 800-53 Revisión 5 del NIST (NIST SP 800-53 Rev. 5) es un marco de ciberseguridad y cumplimiento normativo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias y contratistas del gobierno federal de los Estados Unidos deben cumplir estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) en el *Centro de Recursos de Seguridad Informática de NIST*.

AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-53, revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.

A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.

**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-53-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-53-controls)

## Configuración del registro de recursos para los controles que se aplican al estándar
<a name="standards-reference-nist-800-53-recording"></a>

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. Esto se aplica principalmente a los controles que tienen un tipo de programación *activado por cambios*. Sin embargo, algunos controles con un tipo de programación *periódica* también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servicio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Cómo determinar qué controles se aplican al estándar
<a name="standards-reference-nist-800-53-controls"></a>

La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-53 revisión 5 y se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS CSPM. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 
+  [[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo](ec2-controls.md#ec2-3) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 
+  [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12) 
+  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) 
+  [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16) 
+  [[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18) 
+  [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19) 
+  [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) 
+  [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4) 
+  [[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado](elb-controls.md#elb-5) 
+  [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6) 
+  [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) 
+  [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas](elb-controls.md#elb-9) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 
+  [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5) 
+  [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6) 
+  [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7) 
+  [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3) 
+  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 
+  [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 
+  [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4) 
+  [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5) 
+  [Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]](rds-controls.md#rds-6) 
+  [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) 
+  [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8) 
+  [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)
+  [La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS](rds-controls.md#rds-10) 
+  [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11) 
+  [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12) 
+  [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 
+  [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 
+  [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22) 
+  [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 
+  [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 
+  [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 
+  [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 
+  [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 
+  [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 
+  [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 
+  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 
+  [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 
+  [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14) 
+  [[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15) 
+  [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub
<a name="standards-reference-nist-800-171"></a>

La Publicación Especial 800-171 Revisión 2 del NIST (NIST SP 800-171 Rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento establece requisitos de seguridad recomendados para proteger la confidencialidad de la información controlada no clasificada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. *La información controlada no clasificada* (*CUI*) es información confidencial que no cumple los criterios del Gobierno para clasificarse, pero que igualmente se debe proteger. Se trata información considerada confidencial que es creada o mantenida por el Gobierno federal de los Estados Unidos o por entidades que actúan en su nombre.

NIST SP 800-171 Revisión 2 define requisitos de seguridad recomendados para proteger la confidencialidad de la CUI cuando:
+ La información se aloja en sistemas u organizaciones que no pertenecen al Gobierno federal;
+ La organización no federal no recopila ni mantiene la información en nombre de una agencia federal, ni utiliza u opera un sistema en nombre de dicha agencia; y 
+ No existen requisitos de protección específicos establecidos por la ley habilitante, la normativa o una política federal aplicable a la categoría de CUI correspondiente, según figura en el Registro de CUI. 

Los requisitos se aplican a todos los componentes de sistemas y organizaciones no federales que tratan, almacenan o transmiten CUI, o que proporcionan protección de seguridad para dichos componentes. Para obtener más información, consulte [NIST SP 800-171 Revisión 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) en el *Centro de Recursos de Seguridad Informática del NIST*.

AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-171, revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revisión 2 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-171 Revisión 2 que requieren comprobaciones manuales.

**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-171-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-171-controls)

## Configuración del registro de recursos para los controles que se aplican al estándar
<a name="standards-reference-nist-800-171-recording"></a>

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-171 revisión 2 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de Security Hub.


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Cómo determinar qué controles se aplican al estándar
<a name="standards-reference-nist-800-171-controls"></a>

La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-171 revisión 2 y se aplican al estándar NIST SP 800-171 revisión 2 en Security Hub CSPM. AWS Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)
+ [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)
+ [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)
+ [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)
+ [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)
+ [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)

# PCI DSS en el CSPM de Security Hub
<a name="pci-standard"></a>

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un marco de cumplimiento de terceros que proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y débito. El Consejo de Normas de Seguridad PCI (PCI SSC) crea y actualiza este marco.

AWS Security Hub CSPM proporciona un estándar PCI DSS que puede ayudarlo a cumplir con este marco de terceros. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos de AWS que gestionan los datos de los titulares de tarjetas. Recomendamos habilitar este estándar en Cuentas de AWS con recursos que almacenan, tratan o transmiten datos de titulares de tarjetas o información confidencial de autenticación. Las evaluaciones realizadas por el PCI SSC validaron este estándar.

El CSPM de Security Hub ofrece compatibilidad con PCI DSS v3.2.1 y PCI DSS v4.0.1. Recomendamos usar la versión v4.0.1 para mantenerse alineado con las prácticas recomendadas de seguridad más recientes. Puede tener ambas versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Si actualmente usa la versión v3.2.1 pero desea usar únicamente la v4.0.1, habilite primero la versión más reciente antes de desactivar la versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub AWS Organizations y desea habilitar por lotes la versión 4.0.1 en varias cuentas, le recomendamos que utilice la [configuración central](central-configuration-intro.md) para hacerlo.

Las siguientes secciones especifican qué controles se aplican a PCI DSS v3.2.1 y a PCI DSS v4.0.1.

## Controles que se aplican a PCI DSS v3.2.1
<a name="pci-controls"></a>

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v3.2.1. Para revisar los detalles de un control, seleccione el control.

 [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 

 [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12) 

 [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 

 [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 

 [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 

 [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

 [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 

 [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3) 

 [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 

 [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 

 [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 

 [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 

 [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 

 [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 

 [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 

## Controles que se aplican a PCI DSS v4.0.1
<a name="pci4-controls"></a>

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v4.0.1. Para revisar los detalles de un control, seleccione el control.

[[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)

[[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)

[[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)

[[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)

[[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)

[[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1)

[[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)

[[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)

[[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)

[[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)

[[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)

[[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)

[[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)

[[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)

[[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)

[[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)

[[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)

[[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15)

[[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)

[[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)

[[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)

[[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)

[[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2)

[[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)

[[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)

[[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1)

[[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)

[[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)

[[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)

[[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)

[[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)

[[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4)

[[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)

[[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)

[[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)

[[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)

[[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)

[[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5)

[[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)

[[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)

[[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)

[[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)

[[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)

[[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)

[[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)

[[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)

[[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)

[[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)

[[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3)

[[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)

[[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)

[[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)

[Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)

[Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)

[Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21)

[Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22)

[Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)

[Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)

[[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)

[Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)

[[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)

[[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)

[Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2)

[Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)

[Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15)

[[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

[[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)

[[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)

[[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)

[[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)

[[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)

# Estándares administrados por el servicio en el CSPM de Security Hub
<a name="service-managed-standards"></a>

Un estándar administrado por servicios es un estándar de seguridad que otro Servicio de AWS administra, pero que puede ver en Security Hub CSPM. Por ejemplo, un estándar gestionado por [servicios: AWS Control Tower es un estándar gestionado](service-managed-standard-aws-control-tower.md) por servicios que gestiona. AWS Control Tower Un estándar administrado por el servicio se diferencia de un estándar de seguridad que el CSPM de AWS Security Hub administra de las siguientes maneras:
+ **Creación y eliminación de estándares**: puede crear y eliminar un estándar de administración de servicios con la consola o la API del servicio de administración, o con AWS CLI. Hasta que cree el estándar en el servicio que lo administra mediante alguno de esos métodos, el estándar no aparece en la consola del CSPM de Security Hub y no está disponible a través de la API del CSPM de Security Hub ni de la AWS CLI.
+ **No hay habilitación automática de controles**: cuando crea un estándar administrado por el servicio, ni el CSPM de Security Hub ni el servicio que lo administra habilitan automáticamente los controles que corresponden al estándar. Además, cuando el CSPM de Security Hub lanza controles nuevos para el estándar, estos controles tampoco se habilitan de manera automática. Esto se aparta del funcionamiento habitual de los estándares que administra directamente el CSPM de Security Hub. Para obtener más información sobre la forma habitual de configurar controles en el CSPM de Security Hub, consulte [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md).
+ **Habilitar y deshabilitar los controles**: se recomienda habilitar y deshabilitar los controles en el servicio de administración para evitar desviaciones.
+ **Disponibilidad de los controles**: el servicio de administración elige qué controles están disponibles como parte del estándar de administración del servicio. Los controles disponibles pueden incluir todos o solo un subconjunto de los controles existentes del CSPM de Security Hub.

Después de que el servicio administrador crea el estándar administrado por el servicio y pone a disposición los controles que lo conforman, puede acceder a sus resultados, estados de control y puntaje de seguridad desde la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Es posible que parte o toda esta información también esté disponible en el servicio de administración.

Seleccione un estándar gestionado por el servicio de la siguiente lista para ver más detalles al respecto.

**Topics**
+ [Estándar de gestión de servicios: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Estándar de gestión de servicios: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Esta sección proporciona información sobre Service-Managed Standard:. AWS Control Tower

## ¿Qué es Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Estándar gestionado por servicios: AWS Control Tower es un estándar gestionado por servicios que AWS Control Tower gestiona y admite un subconjunto de controles de Security Hub. Este estándar está diseñado para los usuarios de AWS Security Hub CSPM y. AWS Control Tower Permite configurar los controles de detección del Security Hub CSPM desde el AWS Control Tower servicio.

Los controles de Detective detectan el incumplimiento de los recursos (por ejemplo, errores de configuración) dentro de su Cuentas de AWS.

**sugerencia**  
Los estándares gestionados por servicios difieren de los estándares que gestiona AWS Security Hub CSPM. Por ejemplo, debe crear y eliminar un estándar administrado por un servicio en el servicio de administración. Para obtener más información, consulte [Estándares administrados por el servicio en el CSPM de Security Hub](service-managed-standards.md).

Cuando habilitas el control CSPM de un Security Hub AWS Control Tower, Control Tower también habilita el Security Hub CSPM para ti en esas cuentas y regiones específicas, si aún no lo ha hecho. En la consola y la API de CSPM de Security Hub, puede ver Service-Managed Standard: junto con otros estándares CSPM de AWS Control Tower Security Hub, una vez que el estándar esté habilitado desde. AWS Control Tower

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.

## Creación del estándar
<a name="aws-control-tower-standard-creation"></a>

Este estándar está disponible en Security Hub CSPM solo si habilita los controles CSPM de Security Hub desde. AWS Control Tower AWS Control Tower crea el estándar cuando se habilita por primera vez un control aplicable mediante uno de los métodos siguientes:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Al habilitar un Security Hub, el control CSPM AWS Control Tower, si aún no lo ha hecho, también habilita el AWS Control Tower Security Hub CSPM para usted en esas cuentas y regiones específicas.

Para identificar un control CSPM de Security Hub por su ID de control en Control Catalog, puede utilizar el campo `Implementation.Identifier` de. AWS Control Tower Este campo se asigna al ID de control CSPM de Security Hub y se puede utilizar para filtrar un ID de control específico. Para recuperar los metadatos de control de un control CSPM específico de Security Hub (por ejemplo, «CodeBuild.1") en AWS Control Tower, puedes usar la API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

No puede ver este estándar ni acceder a él en la consola CSPM de Security Hub, en la API CSPM de Security Hub o AWS CLI sin configurar y habilitar primero los controles CSPM de AWS Control Tower Security Hub AWS Control Tower mediante uno de los métodos anteriores.

[Este estándar solo está disponible en los lugares donde está disponible.Regiones de AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Habilitación y deshabilitación de de los controles en el estándar
<a name="aws-control-tower-standard-managing-controls"></a>

Una vez que haya activado los controles CSPM de Security Hub AWS Control Tower y se haya creado el estándar Service-Managed AWS Control Tower Standard: standard, podrá ver el estándar y sus controles disponibles en Security Hub CSPM.

Cuando Security Hub CSPM agrega nuevos controles al estándar Service-Managed Standard: AWS Control Tower standard, no se habilitan automáticamente para los clientes que tienen el estándar habilitado. Debe activar y desactivar los controles del estándar AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (ejecuta los [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)y)

Al cambiar el estado de activación de un control en AWS Control Tower, el cambio también se refleja en Security Hub CSPM.

Sin embargo, si se desactiva un control en Security Hub CSPM que está activado, se AWS Control Tower produce una desviación del control. El estado del control se muestra como. AWS Control Tower `Drifted` Para resolver este problema, utilice la [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para restablecer el control que está desviado, o bien seleccionando [Volver a registrar la unidad organizativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) en la AWS Control Tower consola, o bien deshabilitando y volviendo a activar el control AWS Control Tower mediante uno de los métodos anteriores.

Si completa las acciones de activación y desactivación, evitará que el control se desvíe. AWS Control Tower 

Al activar o desactivar los controles AWS Control Tower, la acción se aplica a todas las cuentas y regiones reguladas por ellos. AWS Control Tower Si habilita y deshabilita los controles en Security Hub CSPM (no se recomienda para este estándar), la acción solo se aplica a la cuenta corriente y la región.

**nota**  
[La configuración central](central-configuration-intro.md) no se puede usar para administrar Service-Managed Standard:. AWS Control Tower*Solo* puede usar el AWS Control Tower servicio para habilitar y deshabilitar los controles de este estándar.

## Visualización del estado de activación y el estado de control
<a name="aws-control-tower-standard-control-status"></a>

Puede ver el estado de habilitación de un control mediante uno de los métodos siguientes:
+ Consola CSPM de Security Hub, API CSPM de Security Hub o AWS CLI
+ AWS Control Tower consola
+ AWS Control Tower API para ver una lista de los controles habilitados (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver una lista de los controles habilitados (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Un control que se deshabilita AWS Control Tower tiene un estado de activación `Disabled` en Security Hub CSPM, a menos que se habilite explícitamente ese control en Security Hub CSPM.

El CSPM de Security Hub calcula el estado del control según el estado del flujo de trabajo y el estado de cumplimiento de los resultados del control. Para obtener más información sobre el estado de activación y el estado de control, consulte [Cómo revisar los detalles de los controles en el CSPM de Security Hub](securityhub-standards-control-details.md).

En función de los estados de control, Security Hub CSPM calcula una [puntuación de seguridad](standards-security-score.md) para Service-Managed Standard:. AWS Control Tower Este puntaje solo está disponible en el CSPM de Security Hub. Además, solo puede ver los [resultados de control](controls-findings-create-update.md) en el CSPM de Security Hub. La puntuación de seguridad estándar y los resultados de control no están disponibles en. AWS Control Tower

**nota**  
Al habilitar los controles para Service-Managed Standard: AWS Control Tower, Security Hub CSPM puede tardar hasta 18 horas en generar los resultados de los controles que utilizan una regla vinculada a un servicio existente. AWS Config Si ha habilitado otros estándares y controles en el CSPM de Security Hub, es posible que ya cuente con reglas vinculadas al servicio. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

## Eliminación de la norma
<a name="aws-control-tower-standard-deletion"></a>

Puede eliminar este servicio gestionado de forma estándar deshabilitando todos los controles aplicables AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

Al deshabilitar todos los controles, se elimina el estándar en todas las cuentas administradas y regiones gobernadas de AWS Control Tower. Al eliminar el estándar, se AWS Control Tower elimina de la página de **estándares** de la consola CSPM de Security Hub y ya no se puede acceder a él mediante la API CSPM de Security Hub o. AWS CLI

**nota**  
 La desactivación de todos los controles del estándar en el CSPM de Security Hub no desactiva ni elimina el estándar. 

Al deshabilitar el servicio CSPM de Security Hub, se elimina Service-Managed Standard: AWS Control Tower y cualquier otro estándar que haya activado.

## Búsqueda del formato de campo para Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Cuando cree Service-Managed Standard: AWS Control Tower y habilite los controles para él, empezará a recibir los resultados de control en Security Hub CSPM. El CSPM de Security Hub informa de los resultados de control en el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Estos son los valores ASFF del nombre de recurso de Amazon (ARN) de este estándar y `GeneratorId`:
+ **ARN estándar** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Para ver un ejemplo de los resultados de Service-Managed Standard:, consulte. AWS Control Tower[Ejemplos de resultados de controles](sample-control-findings.md)

## Controles que se aplican a Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Estándar gestionado por el servicio: AWS Control Tower admite un subconjunto de controles que forman parte del estándar de mejores prácticas de seguridad AWS fundamentales (FSBP). Elija un control para ver información al respecto, incluidos los pasos para remediar los resultados fallidos.

Para ver qué controles CSPM de Security Hub son compatibles AWS Control Tower, puede usar uno de los siguientes métodos:
+ AWS Consola de Control Catalog, donde puede filtrar `“Control owner = AWS Security Hub”`
+ AWS La API de Control Catalog (llame a la [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con el filtro `Implementations` para `Types` comprobar si `AWS::SecurityHub::SecurityControl`
+ AWS CLI (ejecute el [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro para`Implementations`. Ejemplo de comando de la CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Los límites regionales de los controles CSPM de Security Hub, cuando se habilitan mediante el estándar de la Torre de Control, pueden no coincidir con los límites regionales de los controles subyacentes.

En Security Hub CSPM, si las [conclusiones de control consolidadas](controls-findings-create-update.md#consolidated-control-findings) están desactivadas en su cuenta, el `ProductFields.ControlId` campo de las conclusiones generadas utiliza el ID de control estándar. **El ID de control basado en estándares tiene el formato CT. ***ControlId***(por ejemplo, CT. CodeBuild**.1).

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.

# Habilitación de un estándar de seguridad
<a name="enable-standards"></a>

Al habilitar un estándar de seguridad en AWS Security Hub CSPM, Security Hub CSPM crea y habilita automáticamente todos los controles que se aplican al estándar. El CSPM de Security Hub también inicia las comprobaciones de seguridad y empieza a generar resultados para esos controles.

Para optimizar la cobertura y la precisión de los resultados, active y configure el registro de recursos AWS Config antes de activar un estándar. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos que los controles del estándar verifican. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, consulte [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

Después de habilitar un estándar, puede desactivar o volver a habilitar posteriormente controles individuales que se aplican al estándar. Si desactiva un control para un estándar, el CSPM de Security Hub deja de generar resultados para dicho control. Además, el CSPM de Security Hub ignora ese control al calcular la puntuación de seguridad del estándar. La puntuación de seguridad es el porcentaje de controles que superaron la evaluación, en relación con el número total de controles que se aplican al estándar, están habilitados y disponen de datos de evaluación.

Cuando habilita un estándar, el CSPM de Security Hub genera una puntuación de seguridad preliminar para el estándar, normalmente dentro de los primeros 30 minutos tras su primera visita a la página **Resumen** o a la página **Estándares de seguridad**, dentro de la consola del CSPM de Security Hub. Las puntuaciones de seguridad solo se generan para los estándares que están habilitados cuando visita esas páginas en la consola. Además, el registro de recursos debe estar configurado AWS Config para que aparezcan las puntuaciones. En las regiones de China y AWS GovCloud (US) Regions, Security Hub CSPM puede tardar hasta 24 horas en generar una puntuación de seguridad preliminar para un estándar. Después de que el CSPM de Security Hub genera una puntuación preliminar, este actualiza la puntuación cada 24 horas. Para determinar cuándo se actualizó por última vez una puntuación de seguridad, puede consultar una marca de tiempo que el CSPM de Security Hub proporciona para la puntuación. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

La forma en que habilita un estándar depende de si utiliza [la configuración centralizada](central-configuration-intro.md) para administrar el CSPM de Security Hub para varias cuentas y Regiones de AWS. Recomendamos utilizar la configuración centralizada si desea habilitar los estándares en entornos con varias cuentas y regiones. Puede utilizar la configuración central si integra Security Hub CSPM con. AWS Organizations Si no utiliza la configuración centralizada, debe habilitar cada estándar por separado en cada cuenta y en cada región.

**Topics**
+ [Habilitar un estándar en varias cuentas y Regiones de AWS](#enable-standards-central-configuration)
+ [Habilitar un estándar en una sola cuenta y Región de AWS](#securityhub-standard-enable-console)
+ [Verificación del estado de un estándar](#standard-subscription-status)

## Habilitar un estándar en varias cuentas y Regiones de AWS
<a name="enable-standards-central-configuration"></a>

Para habilitar y configurar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la [configuración central](central-configuration-intro.md). Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que habilitan uno o varios estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada *región de agregación*, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por habilitar solo el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una unidad organizativa. Para otra unidad organizativa, puede optar por habilitar tanto el estándar FSBP como el estándar Foundations Benchmark v1.4.0 del Center for Internet Security (CIS) AWS . Para obtener información sobre cómo crear una política de configuración que habilite los estándares que especifique, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

Si utiliza la configuración centralizada, el CSPM de Security Hub no habilita automáticamente ningún estándar en las cuentas nuevas o existentes. En su lugar, el administrador del CSPM de Security Hub especifica qué estándares habilitar en las distintas cuentas cuando crea políticas de configuración del CSPM de Security Hub para la organización. El CSPM de Security Hub ofrece una política de configuración recomendada en la cual solo se habilita el estándar FSBP. Para obtener más información, consulte [Tipos de políticas de configuración](configuration-policies-overview.md#policy-types).

**nota**  
El administrador del CSPM de Security Hub puede utilizar políticas de configuración para habilitar cualquier estándar, excepto el [estándar administrado por el servicio:AWS Control Tower](service-managed-standard-aws-control-tower.md). Para habilitar este estándar, el administrador debe usarlo directamente. AWS Control Tower También deben utilizarse AWS Control Tower para activar o desactivar los controles individuales de este estándar para una cuenta gestionada de forma centralizada.

Si desea que determinadas cuentas habiliten y configuren estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como *cuentas autoadministradas*. Las cuentas autoadministradas deben habilitar y configurar los estándares por separado en cada región.

## Habilitar un estándar en una sola cuenta y Región de AWS
<a name="securityhub-standard-enable-console"></a>

Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede utilizar políticas de configuración para habilitar estándares de seguridad de manera centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede habilitar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estos pasos para habilitar un estándar en una cuenta y región a través de la consola del CSPM de Security Hub.

**Habilitación de un estándar en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar el estándar.

1. En el panel de navegación, elija **Estándares de seguridad**. La página **Estándares de seguridad** muestra todos los estándares que el CSPM de Security Hub admite actualmente. Si ya habilitó un estándar, la sección correspondiente incluye la puntuación de seguridad actual y detalles adicionales sobre el estándar.

1. En la sección del estándar que desea habilitar, elija **Habilitar estándar**.

Para habilitar el estándar en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ Security Hub CSPM API ]

Para habilitar un estándar mediante programación en una sola cuenta y región, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html). O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)comando.

En la solicitud, utilice el parámetro `StandardsArn` para especificar el nombre de recurso de Amazon (ARN) del estándar que desea habilitar. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando habilita el estándar AWS Foundational Security Best Practices (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

¿Dónde *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** está el ARN del estándar FSBP en la región EE.UU. Este (Virginia del Norte) y *us-east-1* es la región en la que se debe habilitar?

Para obtener el ARN de un estándar, utilice la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operación o, si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Para revisar primero la lista de estándares que están habilitados actualmente en la cuenta, puede utilizar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Si utiliza el AWS CLI, puede ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar esta lista.

------

Después de habilitar un estándar, el CSPM de Security Hub inicia las tareas necesarias para habilitar el estándar en la cuenta y en la región especificada. Esto incluye crear todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede consultar el estado del estándar en la cuenta y la región.

## Verificación del estado de un estándar
<a name="standard-subscription-status"></a>

Cuando habilita un estándar de seguridad para una cuenta, el CSPM de Security Hub empieza a crear todos los controles que corresponden a ese estándar en la cuenta. El CSPM de Security Hub también realiza otras tareas necesarias para habilitarlo, como generar una puntuación de seguridad preliminar del estándar. Mientras el CSPM de Security Hub completa estas tareas, el estado del estándar aparece como *Pending* para esa cuenta. Después, el estado cambia a otros valores que puede consultar y supervisar.

**nota**  
Los cambios que haga en controles individuales no modifican el estado general del estándar. Por ejemplo, si vuelve a habilitar un control que antes había desactivado, el estado del estándar no cambia. Lo mismo ocurre si modifica un parámetro de un control que ya está habilitado: el estado del estándar permanece igual.

Para revisar el estado de un estándar desde la consola del CSPM de Security Hub, seleccione **Estándares de seguridad** en el panel de navegación. La página **Estándares de seguridad** muestra todos los estándares que el CSPM de Security Hub admite actualmente. Si el CSPM de Security Hub aún está en proceso de habilitar un estándar, la sección correspondiente indicará que continúa en el proceso de generar la puntuación de seguridad correspondiente al estándar. Si un estándar está habilitado, la sección correspondiente muestra la puntuación actual. Seleccione **Ver resultados** para revisar más detalles, incluido el estado de los controles individuales que se aplican al estándar. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Para verificar el estado de un estándar mediante programación con la API del CSPM de Security Hub, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html). En la solicitud, puede usar de forma opcional el parámetro `StandardsSubscriptionArns` para especificar el nombre de recurso de Amazon (ARN) del estándar cuyo estado desea consultar. Si usa AWS Command Line Interface (AWS CLI), puede ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para comprobar el estado de un estándar. Para indicar el ARN del estándar que desea consultar, utilice el parámetro `standards-subscription-arns`. Para determinar qué ARN especificar, puede utilizar la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operación o, para ello AWS CLI, ejecutar el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Si la solicitud se completa correctamente, el CSPM de Security Hub responde con una matriz de objetos `StandardsSubscription`. Una *suscripción estándar* es un AWS recurso que Security Hub CSPM crea en una cuenta cuando se habilita un estándar para la cuenta. Cada objeto `StandardsSubscription` proporciona información sobre un estándar que está habilitado actualmente o que está en proceso de habilitarse o desactivarse para la cuenta. Dentro de cada objeto, el campo `StandardsStatus` indica el estado actual del estándar para la cuenta.

El estado de un estándar (`StandardsStatus`) puede ser uno de los siguientes:

**PENDING**  
El CSPM de Security Hub realiza tareas para habilitar el estándar en la cuenta. Esto incluye crear los controles que se aplican al estándar y generar una puntuación de seguridad preliminar. El CSPM de Security Hub puede tardar varios minutos en completar todas estas tareas. Un estándar también puede tener este estado si ya está habilitado para la cuenta y el CSPM de Security Hub se encuentra en proceso de agregar controles nuevos al estándar.  
Si un estándar tiene este estado, es posible que no pueda obtener los detalles de los controles individuales que se aplican al estándar. Además, es posible que no pueda configurar o desactivar controles individuales del estándar. Por ejemplo, si intenta desactivar un control mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html), se producirá un error.  
Para saber si puede configurar o administrar controles individuales del estándar, consulte el valor del campo `StandardsControlsUpdatable`. Si el valor de este campo es `READY_FOR_UPDATES`, puede comenzar a administrar los controles individuales del estándar. De lo contrario, espere a que el CSPM de Security Hub complete las tareas adicionales necesarias para habilitar el estándar.

**READY**  
El estándar está habilitado actualmente para la cuenta. El CSPM de Security Hub puede ejecutar comprobaciones de seguridad y generar resultados para todos los controles que se aplican al estándar y que están habilitados. El CSPM de Security Hub también puede calcular una puntuación de seguridad para el estándar.  
Si un estándar tiene este estado, puede consultar los detalles de los controles individuales que se aplican al estándar. Además, puede configurar, desactivar o volver a habilitar los controles. También puede desactivar el estándar.

**INCOMPLETE**  
El CSPM de Security Hub no pudo habilitar por completo el estándar para la cuenta. El CSPM de Security Hub no puede ejecutar comprobaciones de seguridad ni generar resultados para los controles que se aplican al estándar y que están habilitados actualmente. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.  
Para determinar por qué el estándar no se habilitó por completo, consulte la información en la matriz `StandardsStatusReason`. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub habilitara el estándar. Si ocurrió un error interno, intente habilitar nuevamente el estándar para la cuenta. Para otros tipos de problemas, [compruebe la configuración. AWS Config](securityhub-setup-prereqs.md) También puede [desactivar controles individuales](disable-controls-overview.md) que no desee evaluar, o desactivar por completo el estándar.

**DELETING**  
El CSPM de Security Hub está en proceso de completar una solicitud para desactivar el estándar de la cuenta. Esto incluye desactivar los controles que se aplican al estándar y eliminar la puntuación de seguridad asociada. El CSPM de Security Hub puede tardar varios minutos en completar esta solicitud.  
Si un estándar tiene este estado, no puede volver a habilitarlo ni intentar desactivarlo otra vez para la cuenta. El CSPM de Security Hub debe concluir primero la solicitud actual. Además, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos mientras el estándar está en este estado.

**FAILED**  
El CSPM de Security Hub no pudo desactivar el estándar para la cuenta. Ocurrieron uno o más errores cuando el CSPM de Security Hub intentó desactivar el estándar. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.  
Para determinar por qué el estándar no se desactivó por completo, consulte la información en la matriz `StandardsStatusReason`. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub desactivara el estándar.  
Si un estándar tiene este estado, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos. Sin embargo, puede volver a habilitar el estándar para la cuenta. Si resuelve los problemas que impidieron que el CSPM de Security Hub desactivara el estándar, también puede intentar desactivar el estándar nuevamente.

Si el estado de un estándar es `READY`, el CSPM de Security Hub ejecuta comprobaciones de seguridad y genera resultados para todos los controles que se aplican al estándar y que están habilitados. Para otros estados, el CSPM de Security Hub puede ejecutar comprobaciones y generar resultados solo para algunos controles habilitados, pero no para todos. La generación o actualización de resultados de controles puede tardar hasta 24 horas. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

# Revisión de los detalles de un estándar de seguridad
<a name="securityhub-standards-view-controls"></a>

Después de habilitar un estándar de AWS seguridad en Security Hub CSPM, puede usar la consola para revisar los detalles del estándar. En la consola de , la página de detalles de un estándar incluye la siguiente información:
+ El puntaje de seguridad actual del estándar.
+ Una tabla con los controles que se aplican al estándar.
+ Las estadísticas agregadas de los controles que se aplican al estándar.
+ Un resumen visual del estado de los controles que se aplican al estándar.
+ Un resumen visual de las comprobaciones de seguridad para los controles habilitados que se aplican al estándar. Si se integra con AWS Organizations, los controles que están habilitados en al menos una cuenta de la organización se consideran habilitados.

Para revisar estos detalles, seleccione **Estándares de seguridad** en el panel de navegación de la consola. Luego, en la sección del estándar, seleccione **Ver salidas**. Para un análisis más detallado, puede filtrar y ordenar los datos y profundizar en los detalles de los controles individuales que se aplican al estándar.

**Topics**
+ [Descripción de la puntuación de seguridad del estándar](#standard-details-overview)
+ [Revisión de los controles de un estándar](#standard-controls-list)

## Descripción de la puntuación de seguridad del estándar
<a name="standard-details-overview"></a>

En la consola CSPM de AWS Security Hub, la página de detalles de un estándar muestra la puntuación de seguridad del estándar. La puntuación es el porcentaje de controles que superaron la evaluación, en relación con el número total de controles que se aplican al estándar, están habilitados y cuentan con datos de evaluación. Debajo de la puntuación se muestra un gráfico que resume las comprobaciones de seguridad de los controles habilitados que se aplican al estándar. Este resumen incluye la cantidad de comprobaciones de seguridad aprobadas y fallidas. En el caso de las cuentas de administrador, la puntuación y el gráfico estándar se agregan en la cuenta de administrador y en todas las cuentas de los miembros. Para revisar las comprobaciones de seguridad fallidas de los controles con una gravedad específica, seleccione la gravedad correspondiente.

Cuando habilita un estándar, el CSPM de Security Hub genera una puntuación de seguridad preliminar para el estándar, normalmente dentro de los primeros 30 minutos desde su primera visita a la página **Resumen** o a la página **Estándares de seguridad** en la consola del CSPM de Security Hub. Las puntuaciones solo se generan para los estándares que están habilitados cuando visita esas páginas. Además, se debe configurar el registro de AWS Config recursos para que aparezcan las puntuaciones. En las regiones de China y AWS GovCloud (US) Regions, Security Hub CSPM puede tardar hasta 24 horas en generar una puntuación preliminar. Después de que el CSPM de Security Hub genera una puntuación preliminar para un estándar, actualiza la puntuación cada 24 horas. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

Todos los datos de las páginas de detalles **de las normas de seguridad** son específicos de las actuales, a Región de AWS menos que se establezca una región de agregación. Si configura una región de agregación, las puntuaciones de seguridad se aplican en todas las regiones vinculadas e incluyen los resultados de todas esas regiones. Además, el estado de cumplimiento de los controles refleja los resultados de las regiones vinculadas, y la cantidad de comprobaciones de seguridad incluye los resultados provenientes de esas regiones.

## Revisión de los controles de un estándar
<a name="standard-controls-list"></a>

Cuando utilice la consola CSPM de AWS Security Hub para revisar los detalles de un estándar que haya activado, puede revisar una tabla de controles de seguridad que se aplican al estándar. Para cada control, la tabla incluye la siguiente información:
+ El identificador y el título del control.
+ El estado del control. Para obtener más información, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).
+ La gravedad asignada al control.
+ La cantidad de comprobaciones fallidas y la cantidad total de comprobaciones. Si corresponde, el campo **Comprobaciones fallidas** también especifica la cantidad de resultados con un estado de **Desconocido**.
+ Si el control admite parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

El CSPM de Security Hub actualiza los estados de los controles y la cantidad de comprobaciones de seguridad cada 24 horas. En la parte superior de la página, una marca de tiempo indica cuándo el CSPM de Security Hub actualizó estos datos por última vez.

Para las cuentas de administrador, los estados de los controles y la cantidad de comprobaciones de seguridad se agregan entre la cuenta de administrador y todas las cuentas de miembro. La cantidad de controles habilitados incluye aquellos que están habilitados para el estándar en la cuenta de administrador o en al menos una cuenta de miembro. La cantidad de controles desactivados incluye aquellos que están desactivados para el estándar en la cuenta de administrador y en todas las cuentas de miembro.

Puede filtrar la tabla de controles que se aplican al estándar. Si utiliza las opciones **Filtrar por** junto a la tabla, puede elegir ver únicamente los controles habilitados o únicamente los controles desactivados del estándar. Si muestra solo los controles habilitados, puede filtrar aún más la tabla por estado del control. Luego se puede centrar en los controles que tienen un estado específico. Además de las opciones **Filtrar por**, puede escribir criterios de filtrado en el cuadro **Filtrar controles**. Por ejemplo, puede filtrar por ID o título de control.

Elija el método de acceso que prefiera. Luego siga los pasos para revisar los controles que se aplican a un estándar que haya habilitado.

------
#### [ Security Hub CSPM console ]

**Para revisar los controles de un estándar habilitado**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Elija **Estándares de seguridad** en el panel de navegación.

1. En la sección del estándar, seleccione **Ver resultados**.

La tabla al final de la página muestra todos los controles que se aplican al estándar. Puede filtrar y ordenar la tabla. También puede descargar la página actual de la tabla como un archivo CSV. Para hacerlo, seleccione **Descargar** encima de la tabla. Si aplicó un filtro a la tabla, el archivo descargado solo incluirá los controles que coinciden con la configuración del filtro.

------
#### [ Security Hub CSPM API ]

**Para revisar los controles de un estándar habilitado**

1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)comando.

   Especifique el nombre de recurso de Amazon (ARN) del estándar cuyos controles desea revisar. ARNs Para obtener los estándares, utilice la [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operación o ejecute el comando [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Si no especifica el ARN de un estándar, el CSPM de Security Hub devuelve todo el control de seguridad. IDs

1. Utilice la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)operación de la API CSPM de Security Hub o ejecute el [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)comando. Esta operación indica en qué estándares está activado un control.

   Identifique el control proporcionando el ARN o ID del control de seguridad. Los parámetros de paginación son opcionales.

El siguiente ejemplo indica en qué estándares está habilitado el control Config. 1.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Desactivación de estándares de seguridad habilitados automáticamente
<a name="securityhub-auto-enabled-standards"></a>

Si la organización no utiliza la configuración centralizada, emplea un tipo de configuración denominada *configuración local*. Con la configuración local, el CSPM de AWS Security Hub puede habilitar automáticamente los estándares de seguridad predeterminados para las nuevas cuentas de miembro cuando esas cuentas se integran a la organización. Todos los controles que se aplican a estos estándares predeterminados también se habilitan automáticamente.

Actualmente, los estándares de seguridad predeterminados son el estándar AWS Foundational Security Best Practices y el estándar AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). Para obtener información sobre estos estándares, consulte [Referencia de estándares para el CSPM de Security Hub](standards-reference.md).

Si prefiere habilitar manualmente los estándares de seguridad para las nuevas cuentas de miembro, puede desactivar la habilitación automática de los estándares predeterminados. Puede hacerlo solo si se integra con la configuración local AWS Organizations y la utiliza. Si utiliza la configuración centralizada, en su lugar puede crear una política de configuración que habilite los estándares predeterminados y asociar esa política con la raíz. Todas las cuentas de su organización y OUs , a continuación, heredan esta política de configuración, a menos que estén asociadas a una política diferente o se administren automáticamente. Si no se integra con AWS Organizations, puede deshabilitar un estándar predeterminado al habilitar inicialmente el Security Hub CSPM o una versión posterior. Para aprender a hacerlo, consulte [Desactivación de un estándar](disable-standards.md).

Para desactivar la habilitación automática de los estándares predeterminados para las nuevas cuentas de miembro, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estos pasos para desactivar la habilitación automática de los estándares predeterminados a través de la consola del CSPM de Security Hub.

**Desactivación de la habilitación automática de estándares predeterminados**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en las credenciales de una cuenta del administrador.

1. En el panel de navegación, en **Configuración**, elija **Configuración**.

1. En la sección **Información general**, seleccione **Editar**.

1. En **Configuración de nuevas cuentas**, desmarque la casilla **Habilitar los estándares de seguridad predeterminados**.

1. Elija **Confirmar**.

------
#### [ Security Hub CSPM API ]

Para desactivar la habilitación automática de los estándares predeterminados mediante programación, desde la cuenta de administrador del CSPM de Security Hub utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) de la API del CSPM de Security Hub. En la solicitud, especifique `NONE` para el parámetro `AutoEnableStandards`. 

Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando para desactivar la activación automática de los estándares predeterminados. En el parámetro `auto-enable-standards`, especifique `NONE`. Por ejemplo, el siguiente comando habilita automáticamente el CSPM de Security Hub para las nuevas cuentas de miembro y desactiva la habilitación automática de los estándares predeterminados para esas cuentas.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Deshabilitación de un estándar de seguridad
<a name="disable-standards"></a>

Al deshabilitar un estándar de seguridad en AWS Security Hub CSPM, ocurre lo siguiente:
+ Todos los controles que se aplican al estándar se desactivan, a menos que estén asociados a otro estándar que permanezca habilitado.
+ Ya no se ejecutan comprobaciones de seguridad para los controles desactivados y no se generan resultados adicionales para esos controles.
+ Los resultados existentes de los controles desactivados se archivan automáticamente después de aproximadamente 3 a 5 días.
+ AWS Config se eliminan las reglas que Security Hub CSPM creó para los controles deshabilitados.

Por lo general, la eliminación de AWS Config las reglas correspondientes se produce a los pocos minutos de haber desactivado un estándar. aunque en algunos casos puede tardar más. Si la primera solicitud para eliminar las reglas falla, el CSPM de Security Hub vuelve a intentarlo cada 12 horas. Sin embargo, si desactivó el CSPM de Security Hub o no tiene otros estándares habilitados, el CSPM de Security Hub no puede volver a intentarlo, lo que significa que no podrá eliminar las reglas. Si esto ocurre y necesita eliminar las reglas, póngase en contacto con AWS Support.

**Topics**
+ [Deshabilitar un estándar en varias cuentas y Regiones de AWS](#disable-standards-central-configuration)
+ [Desactivar un estándar en una sola cuenta y Región de AWS](#securityhub-standard-disable-console)

## Deshabilitar un estándar en varias cuentas y Regiones de AWS
<a name="disable-standards-central-configuration"></a>

Para deshabilitar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la [configuración central](central-configuration-intro.md). Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que desactivan uno o varios estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada *región de agregación*, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por desactivar el estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) en una unidad organizativa. Para otra unidad organizativa, podría desactivar tanto el estándar PCI-DSS como el estándar NIST SP 800-53 Rev. 5. Para obtener información sobre cómo crear una política de configuración que habilite o desactive los estándares que especifique, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**nota**  
El administrador del CSPM de Security Hub puede usar políticas de configuración para desactivar cualquier estándar, excepto el [estándar administrado por el servicio:AWS Control Tower](service-managed-standard-aws-control-tower.md). Para deshabilitar esta norma, el administrador debe utilizarla AWS Control Tower directamente. También se deben usar AWS Control Tower para deshabilitar o habilitar los controles individuales de este estándar para una cuenta administrada de forma centralizada.

Si desea que determinadas cuentas configuren o desactiven estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como *cuentas autoadministradas*. Las cuentas autoadministradas deben desactivar los estándares por separado en cada región.

## Desactivar un estándar en una sola cuenta y Región de AWS
<a name="securityhub-standard-disable-console"></a>

Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede usar políticas de configuración para desactivar estándares de seguridad de forma centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede desactivar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub. 

------
#### [ Security Hub CSPM console ]

Siga estos pasos para desactivar un estándar en una cuenta y región con la consola del CSPM de Security Hub.

**Deshabilitación de un estándar en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee desactivar el estándar.

1. En el panel de navegación, elija **Estándares de seguridad**.

1. En la sección del estándar que desea desactivar, seleccione **Desactivar estándar**.

Para desactivar el estándar en regiones adicionales, repita los pasos anteriores en cada región adicional.

------
#### [ Security Hub CSPM API ]

Para desactivar un estándar mediante programación en una sola cuenta y región, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html). O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)comando.

En la solicitud, utilice el parámetro `StandardsSubscriptionArns` para especificar el nombre de recurso de Amazon (ARN) del estándar que desea desactivar. Si utiliza el AWS CLI, utilice el `standards-subscription-arns` parámetro para especificar el ARN. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando desactiva el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una cuenta (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

¿Dónde *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* está el ARN del estándar FSBP para la cuenta en la región EE.UU. Este (Virginia del Norte) y *us-east-1* es la región en la que se debe deshabilitar?

Para obtener el ARN de un estándar, puede usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Esta operación recupera información sobre los estándares que están habilitados actualmente en la cuenta. Si utilizas el AWS CLI, puedes ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar esta información.

------

Después de desactivar un estándar, el CSPM de Security Hub comienza a ejecutar tareas para desactivar el estándar en la cuenta y en la región especificada. Esto incluye desactivar todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede [consultar el estado del estándar](enable-standards.md#standard-subscription-status) en la cuenta y la región.

# Comprensión de los controles de seguridad en el CSPM de Security Hub
<a name="controls-view-manage"></a>

En AWS Security Hub CSPM, un *control de seguridad*, también denominado *control*, es una salvaguardia dentro de un estándar de seguridad que ayuda a una organización a proteger la confidencialidad, integridad y disponibilidad de su información. En Security Hub CSPM, un control está relacionado con un recurso específico AWS .

Cuando habilita un control en uno o más estándares, el CSPM de Security Hub comienza a ejecutar comprobaciones de seguridad en este. Las comprobaciones de seguridad generan los resultados del CSPM de Security Hub. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad sobre este y deja de generar los resultados correspondientes.

Puede activar o desactivar los controles individualmente para una sola cuenta y. Región de AWS Para ahorrar tiempo y reducir los errores de configuración en los entornos multicuenta, recomendamos utilizar la [configuración centralizada](central-configuration-intro.md) para activar o desactivar los controles. Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas que especifiquen cómo se debe configurar un control en varias cuentas y regiones. Para obtener más información sobre cómo habilitar y deshabilitar controles, consulte [Habilitación de controles en el CSPM de Security Hub](securityhub-standards-enable-disable-controls.md).

## Vista de controles consolidados
<a name="consolidated-controls-view"></a>

La página de **controles** de la consola CSPM de Security Hub muestra todos los controles disponibles en la versión actual Región de AWS (puede ver los controles en el contexto de un estándar visitando la página de **estándares de seguridad** y seleccionando un estándar activado). El CSPM de Security Hub asigna a los controles un identificador, un título y una descripción coherentes en todos los estándares. IDs Los controles incluyen el número correspondiente Servicio de AWS y único (por ejemplo, CodeBuild .3).

La siguiente información está disponible en la página **Controles** de la [consola del CSPM de Security Hub](https://console.aws.amazon.com/securityhub/):
+ Una puntuación general de seguridad basada en la proporción de controles aprobados en comparación con el número total de controles habilitados con datos
+ Desglose de los estados de control en todos los controles compatibles con el CSPM de Security Hub
+ El número total de controles de seguridad aprobados y con fallos.
+ El número de controles de seguridad con fallos para controles de diferente gravedad y los enlaces para ver más detalles sobre esos controles de seguridad con fallos.
+ Una lista de controles del CSPM de Security Hub, con filtros para ver subconjuntos específicos de controles.

En la página **Controles**, puede elegir un control para ver sus detalles y tomar medidas en función de los resultados generados por el control. Desde esta página, también puede activar o desactivar un control de seguridad en su Cuenta de AWS y actual Región de AWS. Las acciones de activación y desactivación de la página **Controles** se aplican a todos los estándares. Para obtener más información, consulte [Habilitación de controles en el CSPM de Security Hub](securityhub-standards-enable-disable-controls.md).

En el caso de las cuentas de administrador, la página **Controles** refleja el estado de los controles en las cuentas de los miembros. Si se produce un error en una comprobación de control en al menos una cuenta miembro, el estado de control es **Con error**. Si ha establecido una [región de agregación](finding-aggregation.md), la página **Controles** refleja el estado de los controles en todas las regiones vinculadas. Si se produce un error en una comprobación de control en al menos una región vinculada, el estado del control es **Con error**.

La vista de controles consolidados provoca cambios en los campos de búsqueda de controles en el formato AWS de búsqueda de seguridad (ASFF) que pueden afectar a los flujos de trabajo. Para obtener más información, consulte [Vista de controles consolidada: cambios en ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).

## Puntuación general de seguridad de los controles
<a name="controls-overall-score"></a>

La página **Controles** muestra una puntuación de seguridad general que va del 0 al 100 por ciento. La puntuación de seguridad general se calcula en función de la proporción de controles aprobados en comparación con el número total de controles habilitados con datos en todos los estándares.

**nota**  
 Para ver la puntuación de seguridad general de los controles, debe agregar al rol de IAM que utiliza para acceder al CSPM de Security Hub.un permiso para llamar a **`BatchGetControlEvaluations`**. Este permiso no es necesario para ver las puntuaciones de seguridad según estándares específicos. 

Al habilitar el CSPM de Security Hub, la solución calcula la puntuación de seguridad inicial en un plazo de 30 minutos después de su primera visita a la página **Resumen** o a la página **Estándares de seguridad** de la consola del CSPM de Security Hub. Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Regions.

Además de la puntuación de seguridad general, el CSPM de Security Hub calcula una puntuación de seguridad para cada estándar habilitado en un plazo de 30 minutos después de su primera visita a la página **Resumen** o a la página **Estándares de seguridad**. Para ver una lista de los estándares que están habilitados actualmente, utilice la operación de API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html).

AWS Config debe estar habilitado con el registro de recursos para que aparezcan las partituras. Para obtener más información sobre cómo el CSPM de Security Hub calcula las puntuaciones de seguridad, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

Tras la primera generación de puntuaciones, el CSPM de Security Hub actualiza las puntuaciones de seguridad cada 24 horas. El CSPM de Security Hub muestra una marca de tiempo que indica cuándo se actualizó por última vez la puntuación de seguridad.

Si ha establecido una región de agregación, la puntuación de seguridad general refleja los resultados de control en las regiones vinculadas.

# Referencia de controles para el CSPM de Security Hub
<a name="securityhub-controls-reference"></a>

Esta referencia de control proporciona una tabla de los controles CSPM de AWS Security Hub disponibles con enlaces a más información sobre cada control. En la tabla, los controles están organizados en orden alfabético según su ID de control. Aquí solo se incluyen los controles que el CSPM de Security Hub tiene en uso activo. Los controles retirados quedan excluidos de la tabla.

La tabla proporciona la siguiente información para cada control:
+ **ID de control de seguridad**: este ID se aplica a todos los estándares e indica el Servicio de AWS recurso al que se refiere el control. La consola CSPM de Security Hub muestra el control de seguridad IDs, independientemente de si los [hallazgos de control consolidados](controls-findings-create-update.md#consolidated-control-findings) están activados o desactivados en su cuenta. Sin embargo, las conclusiones del CSPM de Security Hub IDs solo hacen referencia al control de seguridad si las conclusiones del control consolidado están activadas en su cuenta. Si las conclusiones de control consolidadas están desactivadas en su cuenta, algunos controles IDs varían según el estándar en sus conclusiones de control. Para ver un mapeo entre el control específico de un estándar y el control IDs de seguridad IDs, consulte. [Cómo afecta la consolidación al control IDs y a los títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Si desea configurar las [automatizaciones](automations.md) de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Si bien Security Hub CSPM puede actualizar ocasionalmente los títulos o descripciones de los controles, el control sigue IDs siendo el mismo.

  El control IDs puede omitir números. Estos son marcadores de posición para futuros controles.
+ **Título de control de seguridad**: este título se aplica a todos los estándares. La consola del CSPM de Security Hub muestra los títulos de los controles de seguridad sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los títulos de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo del control específico del estándar IDs al control de seguridad IDs, consulte. [Cómo afecta la consolidación al control IDs y a los títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Normas aplicables**: indica a qué normas se aplica un control. Seleccione un control para revisar los requisitos específicos de los marcos de cumplimiento de terceros.
+ **Gravedad**: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad del control, consulte [Niveles de gravedad correspondientes a los resultados de control](controls-findings-create-update.md#control-findings-severity).
+ **Admite parámetros personalizados**: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para revisar los detalles de los parámetros. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).
+ **Tipo de programa**: indica cuándo se evalúa el control. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Seleccione un control para revisar información adicional. Los controles están organizados en orden alfabético según el ID del control de seguridad.


| ID de control de seguridad | Título de control de seguridad | Estándares aplicables | Gravedad | Admite parámetros personalizados | Tipo de programación | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO  | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico  | 
|  [Account.2](account-controls.md#account-2)  |  Cuenta de AWS debe AWS Organizations ser parte de una organización  |  NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se desencadena y es periódico  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ACM.3](acm-controls.md#acm-3)  | Los certificados ACM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Las aplicaciones de Amplify deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Las ramificaciones de Amplify deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [APIGateway1](apigateway-controls.md#apigateway-1).  |  El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [APIGateway2.](apigateway-controls.md#apigateway-2)  |  Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway3.](apigateway-controls.md#apigateway-3)  |  Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway4.](apigateway-controls.md#apigateway-4)  |  La API de Gateway debe estar asociada a una ACL web de WAF  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway5.](apigateway-controls.md#apigateway-5)  |  Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway8.](apigateway-controls.md#apigateway-8)  |  Las rutas de API Gateway deben especificar un tipo de autorización  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [APIGateway9.](apigateway-controls.md#apigateway-9)  |  El registro de acceso debe configurarse para las etapas V2 de API Gateway  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway1.10](apigateway-controls.md#apigateway-10)  |  Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1).  | AWS AppConfig las aplicaciones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig2.](appconfig-controls.md#appconfig-2)  | AWS AppConfig los perfiles de configuración deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig3.](appconfig-controls.md#appconfig-3)  | AWS AppConfig los entornos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig4.](appconfig-controls.md#appconfig-4)  | AWS AppConfig las asociaciones de extensiones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppFlow1](appflow-controls.md#appflow-1).  |  AppFlow Los flujos de Amazon deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppRunner1](apprunner-controls.md#apprunner-1).  | Los servicios de App Runner deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppRunner2.](apprunner-controls.md#apprunner-2)  | Los conectores de VPC de App Runner deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppSync2.](appsync-controls.md#appsync-2)  |  AWS AppSync debe tener habilitado el registro a nivel de campo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [AppSync4.](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs debe estar etiquetado | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppSync5.](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL no APIs debe autenticarse con claves de API  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Athena.2](athena-controls.md#athena-2)  | Los catálogos de datos de Athena deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Athena.3](athena-controls.md#athena-3)  | Los grupos de trabajo de Athena deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Athena.4](athena-controls.md#athena-4)  | Los grupos de trabajo de Athena deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1).  | Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [AutoScaling2.](autoscaling-controls.md#autoscaling-2)  |  El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [AutoScaling3.](autoscaling-controls.md#autoscaling-3)  |  Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del servicio de metadatos de instancias () IMDSv2  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling6.](autoscaling-controls.md#autoscaling-6)  |  Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling9.](autoscaling-controls.md#autoscaling-9)  |  Los grupos de escalado automático de EC2 deberían usar plantillas de lanzamiento de EC2  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling1.0](autoscaling-controls.md#autoscaling-10)  | Los grupos de escalado automático de EC2 deberían estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup Los puntos de recuperación deben estar cifrados en reposo  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup los puntos de recuperación deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup Las bóvedas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup los planes de informes deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup los planes de respaldo deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote.1](batch-controls.md#batch-1)  | Las colas de trabajos de Batch deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote.2](batch-controls.md#batch-2)  | Las políticas de programación de Batch deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote 3](batch-controls.md#batch-3)  | Los entornos de computación de Batch deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote 4](batch-controls.md#batch-4)  | Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas. | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFormation2.](cloudformation-controls.md#cloudformation-2)  | CloudFormation las pilas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFormation3.](cloudformation-controls.md#cloudformation-3)  | CloudFormation las pilas deben tener habilitada la protección de terminación | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFormation4.](cloudformation-controls.md#cloudformation-4)  | CloudFormation las pilas deben tener funciones de servicio asociadas | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1).  | CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront3.](cloudfront-controls.md#cloudfront-3)  |  CloudFront las distribuciones deberían requerir el cifrado en tránsito  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront4.](cloudfront-controls.md#cloudfront-4)  |  CloudFront las distribuciones deben tener configurada la conmutación por error de origen  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront5.](cloudfront-controls.md#cloudfront-5)  |  CloudFront las distribuciones deberían tener el registro habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront6.](cloudfront-controls.md#cloudfront-6)  |  CloudFront las distribuciones deben tener WAF habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront7.](cloudfront-controls.md#cloudfront-7)  |  CloudFront las distribuciones deben usar certificados personalizados SSL/TLS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | BAJA |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront8.](cloudfront-controls.md#cloudfront-8)  |  CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront9.](cloudfront-controls.md#cloudfront-9)  |  CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.2](cloudfront-controls.md#cloudfront-12)  |  CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudFront1.3](cloudfront-controls.md#cloudfront-13)  |  CloudFront las distribuciones deben usar el control de acceso al origen  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.4](cloudfront-controls.md#cloudfront-14)  | CloudFront las distribuciones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFront1.5](cloudfront-controls.md#cloudfront-15)  | CloudFront las distribuciones deben usar la política de seguridad TLS recomendada | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1.6](cloudfront-controls.md#cloudfront-16)  | CloudFront las distribuciones deben usar el control de acceso de origen para los orígenes de URL de la función Lambda | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1.7](cloudfront-controls.md#cloudfront-17)  | CloudFront las distribuciones deben usar grupos de claves confiables para los firmados URLs y las cookies | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1).  | CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail debe tener habilitada la encriptación en reposo  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3)  | Debe estar habilitado al menos un CloudTrail sendero | NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; PCI DSS v3.2.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail La validación del archivo de registro debe estar habilitada  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs  | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6)  |  Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público  |  CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se desencadena y es periódico  | 
|  [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7)  |  Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail los senderos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Los almacenes de datos de eventos de Lake deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1).  |  Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v3.2.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2)  |  Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas  | Índice de referencia CIS AWS Foundations v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3)  |  Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración  | Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5)  |  Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6)  |  Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7)  |  Asegúrese de que existan un registro, un filtro métrico y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9)  |  Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios AWS Config de configuración  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.10](cloudwatch-controls.md#cloudwatch-10)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.1](cloudwatch-controls.md#cloudwatch-11)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL)  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.2](cloudwatch-controls.md#cloudwatch-12)  |  Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.3](cloudwatch-controls.md#cloudwatch-13)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.4](cloudwatch-controls.md#cloudwatch-14)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.5](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch las alarmas deben tener configuradas las acciones especificadas  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch las acciones de alarma deben estar habilitadas  |  NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1).  | CodeArtifact los repositorios deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1).  | CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CodeBuild2.](codebuild-controls.md#codebuild-2)  |  CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild3.](codebuild-controls.md#codebuild-3)  |  CodeBuild Los registros de S3 deben estar cifrados  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild4.](codebuild-controls.md#codebuild-4)  |  CodeBuild los entornos del proyecto deben tener una configuración de registro  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild7.](codebuild-controls.md#codebuild-7)  | CodeBuild las exportaciones de los grupos de informes deben estar cifradas en reposo | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1).  | CodeGuru Los grupos de creación de perfiles de Profiler deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1).  | CodeGuru Las asociaciones de repositorios de Reviewer deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación de funciones completo para la autenticación estándar | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Los grupos de identidades de Cognito no deben permitir identidades sin autenticar | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Las políticas de contraseñas para grupos de usuarios de Cognito deben tener configuraciones seguras | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | La MFA debe estar habilitada para los grupos de usuarios de Cognito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Los grupos de usuarios de Cognito deberían tener habilitada la protección contra la eliminación | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Config.1](config-controls.md#config-1)  | AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | CRÍTICO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [Connect.1](connect-controls.md#connect-1)  | Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Connect.2](connect-controls.md#connect-2)  | Las instancias de Amazon Connect deben tener el CloudWatch registro activado | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1).  | Los flujos de entrega de Firehose deben estar cifrados en reposo | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [DataSync1](datasync-controls.md#datasync-1).  | DataSync las tareas deben tener el registro activado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DataSync2.](datasync-controls.md#datasync-2)  | DataSync las tareas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Detective.1](detective-controls.md#detective-1)  | Los gráficos de comportamiento de Detective deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.1](dms-controls.md#dms-1)  |  Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas  | AWS Mejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [DMS.2](dms-controls.md#dms-2)  | Los certificados DMS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.3](dms-controls.md#dms-3)  | Las suscripciones a eventos de DMS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.4](dms-controls.md#dms-4)  | Las instancias de replicación de DMS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.5](dms-controls.md#dms-5)  | Los grupos de subredes de replicación del DMS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.6](dms-controls.md#dms-6)  |  Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Los puntos finales del DMS deben usar SSL  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.10](dms-controls.md#dms-10)  | Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.11](dms-controls.md#dms-11)  | Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.12](dms-controls.md#dms-12)  | Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.13](dms-controls.md#dms-13)  | Las instancias de replicación de DMS se deben configurar para utilizar varias zonas de disponibilidad | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Los clústeres de Amazon DocumentDB deben estar cifrados en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Documento DB.6](documentdb-controls.md#documentdb-6)  | Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | Las tablas de DynamoDB deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DynamoDB.6](dynamodb-controls.md#dynamodb-6)  |  Las tablas de DynamoDB deben tener la protección contra eliminación habilitada  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Las instantáneas de EBS no se deben poder restaurar públicamente  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, AWS PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Los volúmenes de EBS asociados deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  El registro de flujo de VPC debe estar habilitado en todos VPCs  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  El cifrado predeterminado EBS debe estar habilitado  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  Las instancias EC2 deben usar IMDSv2 la versión 2 del servicio de metadatos de instancias ()  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  Las instancias IPv4 EC2 no deben tener una dirección pública  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  EIPs Debe quitarse el EC2 no utilizado  |  PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.14](ec2-controls.md#ec2-14)  | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 | Índice de referencia CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Deben eliminarse las listas de control de acceso a la red no utilizadas  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1, |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  Las instancias EC2 no deben usar varias ENIs  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Los dos túneles VPN de una conexión VPN deben estar activos AWS Site-to-Site  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Los grupos de seguridad de EC2 que no se utilicen deben eliminarse |   | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  No se deben utilizar los tipos de instancias paravirtuales EC2  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  Las plantillas de lanzamiento de EC2 no deben asignar interfaces públicas a las de red IPs  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | La conexión de puerta de enlace de tránsito de EC2 debe estar etiquetada | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.34](ec2-controls.md#ec2-34)  | Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.35](ec2-controls.md#ec2-35)  | Las interfaces de red de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.36](ec2-controls.md#ec2-36)  | Las puertas de enlace de cliente de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Las direcciones IP elásticas de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.38](ec2-controls.md#ec2-38)  | Las instancias de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.39](ec2-controls.md#ec2-39)  | Las puertas de enlace de Internet de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.40](ec2-controls.md#ec2-40)  | Las puertas de enlace de NAT de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.41](ec2-controls.md#ec2-41)  | La red EC2 ACLs debe estar etiquetada | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.42](ec2-controls.md#ec2-42)  | Las tablas de enrutamiento de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.43](ec2-controls.md#ec2-43)  | Los grupos de seguridad de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.44](ec2-controls.md#ec2-44)  | Las subredes de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.45](ec2-controls.md#ec2-45)  | Los volúmenes de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs debería estar etiquetado | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Los servicios de puntos de conexión de Amazon VPC deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Los registros de flujo de Amazon VPC deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.50](ec2-controls.md#ec2-50)  | Las puertas de enlace de VPN de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | Las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.53](ec2-controls.md#ec2-53)  | Los grupos de seguridad de EC2 no deberían permitir la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.54](ec2-controls.md#ec2-54)  | Los grupos de seguridad de EC2 no deberían permitir la entrada desde ::/0 a los puertos de administración de servidores remotos | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs debe configurarse con un punto final de interfaz para la API ECR | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs debe configurarse con un punto final de interfaz para Docker Registry | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs debe configurarse con un punto final de interfaz para Systems Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.170](ec2-controls.md#ec2-170)  | Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del servicio de metadatos de instancias () IMDSv2 | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Las conexiones VPN de EC2 deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.172](ec2-controls.md#ec2-172)  | La configuración de bloqueo de acceso público de VPC para EC2 debe bloquear el tráfico de puerta de enlace de Internet | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.174](ec2-controls.md#ec2-174)  | Los conjuntos de opciones DHCP de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.175](ec2-controls.md#ec2-175)  | Las plantillas de lanzamiento de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.176](ec2-controls.md#ec2-176)  | Las listas de prefijos de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.177](ec2-controls.md#ec2-177)  | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.178](ec2-controls.md#ec2-178)  | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.179](ec2-controls.md#ec2-179)  | Los destinos de duplicación de tráfico de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.180](ec2-controls.md#ec2-180)  | Las interfaces de red EC2 deberían tener source/destination habilitada la comprobación | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.181](ec2-controls.md#ec2-181)  | Las plantillas de lanzamiento de EC2 deben permitir el cifrado para los volúmenes de EBS asociados | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.182](ec2-controls.md#ec2-182)  | Las instantáneas de EBS no deben ser de acceso público | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Los repositorios privados de ECR deben tener configurado el escaneo de imágenes  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Los repositorios públicos de ECR deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Los repositorios de ECR se deben cifrar con AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  Los contenedores ECS deben ejecutarse sin privilegios  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Los secretos no deben pasarse como variables de entorno del contenedor  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  Las definiciones de tareas de ECS deben tener una configuración de registro  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  Los clústeres de ECS deben usar Container Insights  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | Los servicios de ECS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.14](ecs-controls.md#ecs-14)  | Los clústeres de ECS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.15](ecs-controls.md#ecs-15)  | Las definiciones de tareas de ECS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.16](ecs-controls.md#ecs-16)  | Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.17](ecs-controls.md#ecs-17)  | Las definiciones de tareas de ECS no deben utilizar el modo de red de host | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.18](ecs-controls.md#ecs-18)  | Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.19](ecs-controls.md#ecs-19)  | Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.20](ecs-controls.md#ecs-20)  | Las definiciones de tareas de ECS deberían configurar a los usuarios no root en las definiciones de contenedores de Linux | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.21](ecs-controls.md#ecs-21)  | Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EFS.1](efs-controls.md#efs-1)  |  El sistema de archivos Elastic debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EFS.3](efs-controls.md#efs-3)  |  Los puntos de acceso EFS deben aplicar un directorio raíz  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EFS.4](efs-controls.md#efs-4)  |  Los puntos de acceso EFS deben imponer una identidad de usuario  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EFS.5](efs-controls.md#efs-5)  | Los puntos de acceso de EFS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EFS.6](efs-controls.md#efs-6)  | Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EFS.7](efs-controls.md#efs-7)  | Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EFS.8](efs-controls.md#efs-8)  | Los sistemas de archivos de EFS deben cifrarse en reposo | CIS AWS Foundations Benchmark v5.0.0, prácticas recomendadas de seguridad AWS fundamentales | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.1](eks-controls.md#eks-1)  |  Los puntos de conexión del clúster EKS no deben ser de acceso público  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EKS.2](eks-controls.md#eks-2)  |  Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EKS.3](eks-controls.md#eks-3)  | Los clústeres de EKS deben usar secretos de Kubernetes cifrados | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EKS.6](eks-controls.md#eks-6)  | Los clústeres de EKS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.7](eks-controls.md#eks-7)  | Las configuraciones de los proveedores de identidad de EKS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.8](eks-controls.md#eks-8)  |  Los clústeres de EKS deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1).  | ElastiCache Los clústeres (Redis OSS) deben tener habilitadas las copias de seguridad automáticas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [ElastiCache2.](elasticache-controls.md#elasticache-2)  |  ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache3.](elasticache-controls.md#elasticache-3)  | ElastiCache los grupos de replicación deberían tener habilitada la conmutación por error automática  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache4.](elasticache-controls.md#elasticache-4)  | ElastiCache los grupos de replicación deberían ser encrypted-at-rest |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache5.](elasticache-controls.md#elasticache-5)  | ElastiCache los grupos de replicación deberían ser encrypted-in-transit | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache6.](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache7.](elasticache-controls.md#elasticache-7)  | ElastiCache los clústeres no deben usar el grupo de subredes predeterminado |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1).  |  Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk debe transmitir los registros a CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.1](elb-controls.md#elb-1)  |  El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.5](elb-controls.md#elb-5)  |  El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.6](elb-controls.md#elb-6)  | La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ELB.7](elb-controls.md#elb-7)  |  Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  | BAJA |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto.  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto.  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web WAF AWS  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.17](elb-controls.md#elb-17)  | Los equilibradores de carga de red y de aplicaciones con oyentes deben usar las políticas de seguridad recomendadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.18](elb-controls.md#elb-18)  | Los oyentes de equilibradores de carga de aplicación y de red deben utilizar protocolos seguros para cifrar los datos en tránsito | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ELB.21](elb-controls.md#elb-21)  |  Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.22](elb-controls.md#elb-22)  |  Los grupos objetivo del ELB deben utilizar protocolos de transporte cifrados  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EMR.1](emr-controls.md#emr-1)  | Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EMR.2](emr-controls.md#emr-2)  | La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EMR.3](emr-controls.md#emr-3)  | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EMR.4](emr-controls.md#emr-4)  | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ES.1](es-controls.md#es-1)  |  Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ES.2](es-controls.md#es-2)  |  Los dominios de Elasticsearch no deben ser de acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ES.3](es-controls.md#es-3)  |  Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.4](es-controls.md#es-4)  |  Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.5](es-controls.md#es-5)  |  Los dominios de Elasticsearch deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.6](es-controls.md#es-6)  |  Los dominios de Elasticsearch deben tener al menos tres nodos de datos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.7](es-controls.md#es-7)  |  Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.8](es-controls.md#es-8)  | Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ES.9](es-controls.md#es-9)  | Los dominios de Elasticsearch deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EventBridge2.](eventbridge-controls.md#eventbridge-2)  | EventBridge los autobuses del evento deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EventBridge3.](eventbridge-controls.md#eventbridge-3)  |  EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EventBridge4.](eventbridge-controls.md#eventbridge-4)  |  EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1).  | Los tipos de entidad de Amazon Fraud Detector deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector2.](frauddetector-controls.md#frauddetector-2)  | Las etiquetas de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector3.](frauddetector-controls.md#frauddetector-3)  | Las salidas de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector4.](frauddetector-controls.md#frauddetector-4)  | Las variables de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FSx1](fsx-controls.md#fsx-1).  |  FSx para los sistemas de archivos OpenZFS, debe configurarse para copiar etiquetas en copias de seguridad y volúmenes  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico | 
|  [FSx2.](fsx-controls.md#fsx-2)  | FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [FSx3.](fsx-controls.md#fsx-3)  | FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [FSx4.](fsx-controls.md#fsx-4)  | FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [FSx5.](fsx-controls.md#fsx-5)  | FSx para los sistemas de archivos del servidor de archivos de Windows, debe configurarse para la implementación en zonas de disponibilidad múltiples | AWS Prácticas recomendadas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue los trabajos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Pegamento.4](glue-controls.md#glue-4)  | AWS Glue Los trabajos de Spark deberían ejecutarse en versiones compatibles de AWS Glue | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1).  | Los aceleradores de Global Accelerator deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1).  |  GuardDuty debe estar activado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [GuardDuty2.](guardduty-controls.md#guardduty-2)  | GuardDuty los filtros deben estar etiquetados  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty3.](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets debe estar etiquetado  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty4.](guardduty-controls.md#guardduty-4)  | GuardDuty los detectores deben estar etiquetados  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty5.](guardduty-controls.md#guardduty-5)  | GuardDuty La supervisión del registro de auditoría de EKS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty6.](guardduty-controls.md#guardduty-6)  | GuardDuty La protección Lambda debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty7.](guardduty-controls.md#guardduty-7)  | GuardDuty La monitorización del tiempo de ejecución de EKS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty8.](guardduty-controls.md#guardduty-8)  | GuardDuty La protección contra malware para EC2 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty9.](guardduty-controls.md#guardduty-9)  | GuardDuty La protección RDS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty La protección S3 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.1](guardduty-controls.md#guardduty-11)  | GuardDuty La supervisión del tiempo de ejecución debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.2](guardduty-controls.md#guardduty-12)  | GuardDuty La supervisión del tiempo de ejecución de ECS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.3](guardduty-controls.md#guardduty-13)  | GuardDuty La monitorización del tiempo de ejecución de EC2 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IAM.1](iam-controls.md#iam-1)  |  Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”  | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Los usuarios de IAM no deben tener políticas de IAM asociadas  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.4](iam-controls.md#iam-4)  |  La clave de acceso del usuario raíz de IAM no debería existir  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.6](iam-controls.md#iam-6)  |  La MFA de hardware debe estar habilitada para el usuario raíz  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Deben eliminarse las credenciales de usuario de IAM que no se utilicen  | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas AWS fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.9](iam-controls.md#iam-9)  |  La MFA debe estar habilitada para el usuario raíz  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.10](iam-controls.md#iam-10)  |  Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras  | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Asegurar que la política de contraseñas de IAM requiere al menos un símbolo  | Índice de referencia CIS Foundations v1.2.0, NIST SP 800-171 rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Asegurar que la política de contraseñas de IAM requiere al menos un número  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 AWS AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI AWS DSS v4.0.1 AWS  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos  | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS AWS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.19](iam-controls.md#iam-19)  |  MFA se debe habilitar para todos los usuarios de IAM  | NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.22](iam-controls.md#iam-22)  |  Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.23](iam-controls.md#iam-23)  | Los analizadores del Analizador de acceso de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.24](iam-controls.md#iam-24)  | Los roles de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.25](iam-controls.md#iam-25)  | Los usuarios de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.26](iam-controls.md#iam-26) |  SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IAM.27](iam-controls.md#iam-27)  | Las identidades de IAM no deberían tener la política adjunta AWSCloud ShellFullAccess  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [IAM.28](iam-controls.md#iam-28)  | El analizador de acceso externo del Analizador de acceso de IAM debe estar habilitado | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0 AWS  | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | El análisis de EC2 en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | El análisis de ECR en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | El análisis de código de Lambda en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | El análisis de estándar de Lambda en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core las acciones de mitigación deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core las dimensiones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core los autorizadores deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core Los alias de los roles deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core las políticas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.1 TEvents](iotevents-controls.md#iotevents-1)  | AWS IoT Events las entradas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.2 TEvents](iotevents-controls.md#iotevents-2)  | AWS IoT Events los modelos de detectores deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.3 TEvents](iotevents-controls.md#iotevents-3)  | AWS IoT Events los modelos de alarma deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.1 TSite](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise los modelos de activos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.2 TSite](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise los cuadros de mando deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.3 TSite](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise las pasarelas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.4 TSite](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise los portales deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.5 TSite](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise los proyectos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.1 TTwin](iottwinmaker-controls.md#iottwinmaker-1)  | AWS Los trabajos de TwinMaker sincronización de IoT deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.2 TTwin](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.3 TTwin](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker Las escenas de IoT deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io MakerTTwin. 4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker Las entidades de IoT deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.1 TWireless](iotwireless-controls.md#iotwireless-1)  | AWS Los grupos de multidifusión de IoT Wireless deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.2 TWireless](iotwireless-controls.md#iotwireless-2)  | AWS Los perfiles de servicio de IoT Wireless deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.3 TWireless](iotwireless-controls.md#iotwireless-3)  | AWS Las tareas de IoT Wireless FUOTA deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Los pares de claves de reproducción de IVS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.2](ivs-controls.md#ivs-2)  | Las configuraciones de grabación de IVS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.3](ivs-controls.md#ivs-3)  | Los canales de IVS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Keyspaces.1](keyspaces-controls.md#keyspaces-1)  | Los espacios clave de Amazon Keyspaces deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Las transmisiones de Kinesis deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Las transmisiones de Kinesis deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [KMS.1](kms-controls.md#kms-1)  |  Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.2](kms-controls.md#kms-2)  |  Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys no debe borrarse involuntariamente  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key la rotación debe estar habilitada  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [KMS.5](kms-controls.md#kms-5)  | Las claves KMS no deben ser de acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Las funciones de Lambda deberían prohibir el acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Las funciones de Lambda deben usar los últimos tiempos de ejecución  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Las funciones de Lambda deben estar en una VPC  |  PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Las funciones de Lambda deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Las funciones Lambda deben tener activado el rastreo AWS X-Ray activo | NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie debe estar habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [Macie.2](macie-controls.md#macie-2)  | La detección automática de datos confidenciales de Macie debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [MSK.1](msk-controls.md#msk-1)  |  Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Los clústeres de MSK deberían tener configurada una supervisión mejorada  |  NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MSK.3](msk-controls.md#msk-3)  | Los conectores de MSK Connect deben cifrarse en tránsito | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [MSK.4](msk-controls.md#msk-4)  | Los clústeres de MSK deben tener el acceso público desactivado | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MSK.5](msk-controls.md#msk-5)  | Los conectores de MSK deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MSK.6](msk-controls.md#msk-6)  | Los clústeres de MSK deben desactivar el acceso no autenticado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MQ.2](mq-controls.md#mq-2)  | Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MQ.4](mq-controls.md#mq-4)  | Los agentes de Amazon MQ deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [MQ.5](mq-controls.md#mq-5)  |  Los corredores de ActiveMQ deberían usar el modo de implementación active/standby  | NIST SP 800-53 Rev. 5 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MQ.6](mq-controls.md#mq-6)  |  Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres  | NIST SP 800-53 Rev. 5 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Las instantáneas del clúster de base de datos de Neptune no deben ser públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  Los clústers de Neptune DB deben tener habilitada la protección contra eliminación.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1).  |  Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2)  |  El registro de Network Firewall debe estar habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3)  |  Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4)  |  La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5)  |  La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6)  |  El grupo de reglas de firewall de redes sin estado no debe estar vacío  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7)  | Los firewall de Network Firewall deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8)  | Las políticas de firewall de Network Firewall deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9)  |  Los firewalls de Network Firewall deben tener habilitada la protección de eliminación  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall1.0](networkfirewall-controls.md#networkfirewall-10)  | Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch los dominios deben tener habilitado el cifrado en reposo  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch los dominios no deben ser de acceso público  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch los dominios deben cifrar los datos enviados entre nodos  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch el registro de errores de dominio en Logs debe estar habilitado CloudWatch  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch los dominios deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch los dominios deben tener al menos tres nodos de datos  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch los dominios deben tener habilitado un control de acceso detallado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | Las conexiones a los OpenSearch dominios deben cifrarse mediante la última política de seguridad de TLS |  AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch los dominios deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch los dominios deben tener instalada la última actualización de software  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch los dominios deben tener al menos tres nodos principales dedicados | NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA la autoridad de certificación raíz debe estar deshabilitada  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Las autoridades certificadoras de CA privadas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.1](rds-controls.md#rds-1)  |  Las instantáneas de RDS deben ser privadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.2](rds-controls.md#rds-2)  |  Las instancias de base de datos RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 rev. 5 AWS AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.5](rds-controls.md#rds-5)  |  Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad  | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.7](rds-controls.md#rds-7)  |  Los clústeres RDS deben tener habilitada la protección contra la eliminación  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.9](rds-controls.md#rds-9)  | Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.10](rds-controls.md#rds-10)  |  La autenticación de IAM debe configurarse para las instancias de RDS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Las instancias RDS deben tener habilitadas las copias de seguridad automáticas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.12](rds-controls.md#rds-12)  |  La autenticación de IAM debe configurarse para los clústeres de RDS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.15](rds-controls.md#rds-15)  |  Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad  | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.16](rds-controls.md#rds-16)  | Los clústeres de bases de datos de Aurora se deben configurar para copiar etiquetas en instantáneas de bases de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAJA  | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.17](rds-controls.md#rds-17)  |  Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.18](rds-controls.md#rds-18)  |  Las instancias de RDS deben implementarse en una VPC  |   |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.23](rds-controls.md#rds-23)  |  Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.24](rds-controls.md#rds-24)  |  Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.25](rds-controls.md#rds-25)  |  Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.26](rds-controls.md#rds-26)  |  Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [RDS.27](rds-controls.md#rds-27)  |  Los clústeres de bases de datos de RDS deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.28](rds-controls.md#rds-28)  | Los clústeres de base de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.29](rds-controls.md#rds-29)  | Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.30](rds-controls.md#rds-30)  | Las instancias de bases de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.31](rds-controls.md#rds-31)  | Los grupos de seguridad de bases de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.32](rds-controls.md#rds-32)  | Las instantáneas de bases de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.33](rds-controls.md#rds-33)  | Los grupos de subredes de bases de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.34](rds-controls.md#rds-34)  |  Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.36](rds-controls.md#rds-36)  | Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.37](rds-controls.md#rds-37)  | Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.38](rds-controls.md#rds-38)  | Las instancias de base de datos de RDS para PostgreSQL se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.39](rds-controls.md#rds-39)  | Las instancias de base de datos de RDS para MySQL se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.40](rds-controls.md#rds-40)  | Las instancias de base de datos de RDS para SQL Server deben publicar los registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.41](rds-controls.md#rds-41)  | Las instancias de base de datos de RDS para SQL Server se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.42](rds-controls.md#rds-42)  | Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [RDS.43](rds-controls.md#rds-43)  | Los proxies de base de datos de RDS deben exigir el cifrado TLS para las conexiones | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.44](rds-controls.md#rds-44)  | Las instancias de base de datos de RDS para MariaDB se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.45](rds-controls.md#rds-45)  | Los clústeres de base de datos de Aurora MySQL deben tener habilitado el registro de auditoría | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.46](rds-controls.md#rds-46)  | Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet. | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.47](rds-controls.md#rds-47)  | Los clústeres de bases de datos de RDS para PostgreSQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWS Mejores prácticas fundamentales de seguridad | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.48](rds-controls.md#rds-48)  | Los clústeres de bases de datos de RDS para MySQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWS Mejores prácticas fundamentales de seguridad | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.50](rds-controls.md#rds-50)  |  Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) Sí  |  El cambio se ha activado  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Los clústeres de Amazon Redshift deberían prohibir el acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Los clústeres de Redshift deben estar cifrados en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | Los clústeres de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | Las instantáneas del clúster de Redshift deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | Los grupos de subredes del clúster de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Los grupos de subredes del clúster de Redshift deben tener subredes de varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | Los grupos de parámetros del clúster de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1).  | Los grupos de trabajo de Amazon Redshift sin servidor deben utilizar enrutamiento de VPC mejorado | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2)  | Se debe requerir que las conexiones a los grupos de trabajo de Redshift Serverless utilicen SSL | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3)  | Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público | AWS Mejores prácticas de seguridad fundamentales | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4)  | Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5)  | Los espacios de nombres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6)  | Los espacios de nombres Redshift Serverless deberían exportar los registros a los registros CloudWatch  | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Route53.1](route53-controls.md#route53-1)  | Las comprobaciones de estado de Route 53 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Route53.2](route53-controls.md#route53-2)  |  Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [S3.1](s3-controls.md#s3-1)  | Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.2](s3-controls.md#s3-2)  | Los buckets de uso general de S3 deben bloquear el acceso público de lectura | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [S3.3](s3-controls.md#s3-3)  | Los buckets de uso general de S3 deben bloquear el acceso público de escritura | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [S3.5](s3-controls.md#s3-5)  | En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.6](s3-controls.md#s3-6)  | Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.7](s3-controls.md#s3-7)  | Los buckets de uso general de S3 deben usar la replicación entre regiones | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.8](s3-controls.md#s3-8)  | Los buckets de uso general de S3 deben bloquear el acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundational Security Best Practices, AWS NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.9](s3-controls.md#s3-9)  | Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.10](s3-controls.md#s3-10)  | Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.11](s3-controls.md#s3-11)  | Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs no debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.13](s3-controls.md#s3-13)  | Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.14](s3-controls.md#s3-14)  | Los buckets de uso general de S3 deben tener habilitado el control de versiones | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.15](s3-controls.md#s3-15)  | Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.17](s3-controls.md#s3-17)  | Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys | NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.19](s3-controls.md#s3-19)  | Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.20](s3-controls.md#s3-20)  | Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS  | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.22](s3-controls.md#s3-22)  | Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto | CIS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.23](s3-controls.md#s3-23)  | Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.24](s3-controls.md#s3-24)  | Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.25](s3-controls.md#s3-25)  | Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida | AWS Mejores prácticas de seguridad fundamentales | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1).  |  Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [SageMaker2.](sagemaker-controls.md#sagemaker-2)  |  SageMaker las instancias de notebook deben lanzarse en una VPC personalizada  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker3.](sagemaker-controls.md#sagemaker-3)  |  Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker4.](sagemaker-controls.md#sagemaker-4)  | SageMaker las variantes de producción de terminales deben tener un recuento inicial de instancias superior a 1 | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SageMaker5.](sagemaker-controls.md#sagemaker-5)  | SageMaker los modelos deben tener habilitado el aislamiento de red | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SageMaker6.](sagemaker-controls.md#sagemaker-6)  | SageMaker las configuraciones de imagen de la aplicación deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker7.](sagemaker-controls.md#sagemaker-7)  | SageMaker las imágenes deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker8.](sagemaker-controls.md#sagemaker-8)  | SageMaker las instancias de notebook deberían ejecutarse en plataformas compatibles | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SageMaker9.](sagemaker-controls.md#sagemaker-9)  |  SageMaker las definiciones de trabajos de calidad de datos deben tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker las definiciones de los trabajos de explicabilidad del modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.1](sagemaker-controls.md#sagemaker-11)  |  SageMaker las definiciones de tareas relacionadas con la calidad de los datos deben tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.2](sagemaker-controls.md#sagemaker-12)  |  SageMaker las definiciones de trabajo basadas en el sesgo del modelo deberían tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.3](sagemaker-controls.md#sagemaker-13)  |  SageMaker las definiciones de trabajos con calidad de modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.4](sagemaker-controls.md#sagemaker-14)  |  SageMaker los horarios de monitoreo deben tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker las definiciones de tareas basadas en el sesgo del modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1).  |  Los secretos de Secrets Manager deberían tener habilitada la rotación automática  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2)  |  Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3)  |  Eliminación de secretos no utilizados de Secrets Manager  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4)  |  Los secretos de Secrets Manager deben rotarse en un número específico de días  | AWS Mejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5)  | Los secretos de Secrets Manager deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1).  | Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SES.1](ses-controls.md#ses-1)  | Las listas de contactos de SES deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SES.2](ses-controls.md#ses-2)  | Los conjuntos de configuración de SES deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SES.3](ses-controls.md#ses-3)  | Los conjuntos de configuración de SES deben tener el TLS activado para enviar correos electrónicos | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SNS.1](sns-controls.md#sns-1)  | Los temas de SNS deben cifrarse en reposo mediante AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SNS.3](sns-controls.md#sns-3)  | Los temas de SNS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SNS.4](sns-controls.md#sns-4)  | Las políticas de acceso a los temas de SNS no deberían permitir el acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Las colas de Amazon SQS deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | Las colas de SQS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Las políticas de acceso de la cola de SQS no deben permitir el acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  Las instancias de EC2 deben administrarse mediante AWS Systems Manager  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche  | AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Las instancias EC2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT  | AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  Los documentos del SSM no deben ser públicos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | Los documentos de SSM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM Automation debería tener el registro habilitado CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SSM.7](ssm-controls.md#ssm-7)  | Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1).  |  Step Functions indica que las máquinas deberían tener el registro activado  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2)  | Las actividades de Step Functions deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Los flujos de trabajo de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Transferencia.3](transfer-controls.md#transfer-3)  | Los conectores de Transfer Family deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Transferencia 4](transfer-controls.md#transfer-4)  | Los acuerdos de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transferencia.5](transfer-controls.md#transfer-5)  | Los certificados de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Los conectores de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Los perfiles de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS El registro WAF Classic Global Web ACL debe estar habilitado  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Las reglas regionales clásicas de la WAF deben tener al menos una condición  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS Los grupos de reglas regionales clásicas de WAF deben tener al menos una regla  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS La web WAF Classic Regional ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Las reglas globales de WAF Classic deben tener al menos una condición  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Los grupos de reglas globales de WAF Classic deben tener al menos una regla  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS La web global de WAF Classic ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS La web WAF ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS El registro de ACL web en WAF debe estar habilitado  | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS Las reglas de WAF deben tener CloudWatch las métricas habilitadas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1).  | WorkSpaces los volúmenes de usuario deben cifrarse en reposo | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [WorkSpaces2.](workspaces-controls.md#workspaces-2)  | WorkSpaces los volúmenes raíz deben cifrarse en reposo | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 

# Registro de cambios de los controles del CSPM de Security Hub
<a name="controls-change-log"></a>

El siguiente registro de cambios registra los cambios importantes en los controles CSPM de AWS Security Hub existentes, lo que puede provocar cambios en el estado general de un control y en el estado de conformidad de sus hallazgos. Para obtener información sobre cómo el CSPM de Security Hub evalúa el estado de un control, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md). Los cambios pueden tardar unos días después de su entrada en este registro y afectar a todos los elementos Regiones de AWS en los que esté disponible el control.

Este registro realiza el seguimiento de los cambios que se han producido desde abril de 2023. Elija un control para revisar información adicional sobre él. Los cambios en el título se mantienen visibles en la descripción detallada del control durante 90 días.


| Fecha del cambio | ID y título de control | Descripción del cambio | 
| --- | --- | --- | 
| 3 de abril de 2026 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.32` a `1.33`. El soporte estándar para la versión 1.32 de Kubernetes en Amazon EKS finalizó el 23 de marzo de 2026.  | 
| 3 de abril de 2026 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | El parámetro Lambda.2 para los tiempos de ejecución compatibles ya no se incluye, ya que ruby3.2 Lambda ha dejado de usar este tiempo de ejecución. | 
| 24 de marzo de 2026 | [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) | Security Hub CSPM actualizó el título del control para reflejar que el control comprueba todos los clústeres de bases de datos de RDS. | 
| 24 de marzo de 2026 | [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) | Security Hub CSPM actualizó el título y la descripción del control para reflejar que el control comprueba las definiciones de las tareas de ECS. Security Hub CSPM también actualizó el control para no generar resultados para las definiciones de tareas con una `runtimePlatform` configuración para especificar una familia de `WINDOWS_SERVER` sistemas operativos. | 
| 9 de marzo de 2026 | [AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 9 de marzo de 2026 | [AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 4 de marzo de 2026 | [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP) y del estándar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| 5 de febrero de 2026 | [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) | Security Hub CSPM retirará este control y lo eliminará de todos los estándares CSPM de Security Hub aplicables el 9 de marzo de 2026. AWS AppSync proporciona un cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 5 de febrero de 2026 | [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) | Security Hub CSPM retirará este control y lo eliminará de todos los estándares CSPM de Security Hub aplicables el 9 de marzo de 2026. AWS AppSync proporciona un cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 16 de enero de 2026 | [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) | Security Hub CSPM notificó que este control se retirará y se eliminará de todos los estándares CSPM de Security Hub aplicables después del 16 de febrero de 2026. | 
| 12 de enero de 2026 | [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) | Security Hub CSPM actualizó este control para eliminar el `loggingEnabled` parámetro. | 
| 12 de enero de 2026 | [MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias | Security Hub CSPM retiró el control y lo eliminó de todos los estándares aplicables. Security Hub CSPM retiró el control debido a los requisitos de Amazon MQ para las actualizaciones automáticas de las versiones secundarias. [Anteriormente, el control se aplicaba al estándar [AWS Foundational Security Best Practices (FSBP), al estándar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 y al estándar PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 12 de enero de 2026 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. Security Hub CSPM ahora admite `dotnet10` como valor de parámetro para este control. AWS Lambda se agregó soporte para este tiempo de ejecución. | 
| 15 de diciembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. Security Hub CSPM ya no admite `python3.9` como valor de parámetro para este control. AWS Lambda ya no es compatible con este tiempo de ejecución. | 
| 12 de diciembre de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.31` a `1.32`. El soporte estándar para la versión 1.31 de Kubernetes en Amazon EKS finalizó el 26 de noviembre de 2025.  | 
| 21 de noviembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. El CSPM de Security Hub ahora admite `nodejs24.x` y `python3.14` como valores de parámetros para este control. AWS Lambda se agregó soporte para estos tiempos de ejecución. | 
| 14 de noviembre de 2025 | [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) | Security Hub CSPM actualizó la descripción y la justificación de este control. Anteriormente, el control solo comprobaba la asignación automática de IP IPv4 pública en las subredes de Amazon VPC mediante el indicador. `MapPublicIpOnLaunch` Este control ahora comprueba tanto IPv4 la asignación automática de direcciones IP IPv6 públicas como la asignación automática. La descripción y la justificación del control se han actualizado para reflejar estos cambios. | 
| 14 de noviembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. El CSPM de Security Hub ahora admite `java25` como valor de parámetro para este control. AWS Lambda agregó compatibilidad para este tiempo de ejecución. | 
| 13 de noviembre de 2025 | [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `CRITICAL` Permitir el acceso público a los temas de Amazon SNS supone un riesgo de seguridad importante. | 
| 13 de noviembre de 2025 | [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `CRITICAL` Permitir el acceso público a las colas de Amazon SQS supone un riesgo de seguridad importante. | 
| 13 de noviembre de 2025 | [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `HIGH` Este tipo de supervisión del tiempo de ejecución proporciona una detección de amenazas mejorada para los recursos de Amazon EKS. | 
| 13 de noviembre de 2025 | [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` Las actualizaciones de versiones menores incluyen los parches de seguridad necesarios para mantener la seguridad de los corredores de Amazon MQ. | 
| 13 de noviembre de 2025 | [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` Las actualizaciones de software incluyen los parches de seguridad necesarios para mantener la seguridad del OpenSearch dominio. | 
| 13 de noviembre de 2025 | [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` La protección contra la eliminación ayuda a evitar la eliminación accidental de las bases de datos de Amazon RDS y la eliminación de las bases de datos de RDS por parte de entidades no autorizadas. | 
| 13 de noviembre de 2025 | [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` AWS CloudTrail El registro de datos en Amazon CloudWatch Logs se puede utilizar para actividades de auditoría, alarmas y otras operaciones de seguridad importantes. | 
| 13 de noviembre de 2025 | [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `MEDIUM` Compartir AWS Service Catalog carteras con cuentas específicas puede ser intencional y no necesariamente indica que una cartera sea de acceso público. | 
| 13 de noviembre de 2025 | [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `LOW` Los nombres `cloudfront.net` de dominio predeterminados para CloudFront las distribuciones de Amazon se generan de forma aleatoria, lo que reduce el riesgo de seguridad. | 
| 13 de noviembre de 2025 | [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `LOW` En las implementaciones de varias instancias, otras instancias en buen estado pueden gestionar las sesiones de usuario cuando una instancia se cierra sin agotar la conexión, lo que reduce el impacto operativo y los riesgos de disponibilidad. | 
| 13 de noviembre de 2025 | [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM actualizó este control para eliminar el parámetro opcional`validAdminUserNames`. | 
| 23 de octubre de 2025 | [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) | El CSPM de Security Hub revirtió los cambios realizados al título, la descripción y la regla de este control el 14 de octubre de 2025. | 
| 22 de octubre de 2025 | [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM actualizó este control para no generar resultados para CloudFront las distribuciones de Amazon que utilizan orígenes personalizados.  | 
| 16 de octubre de 2025 | [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) | Este control comprueba si una CloudFront distribución de Amazon está configurada para usar una política de seguridad TLS recomendada. El CSPM de Security Hub ahora admite `TLSv1.2_2025` y `TLSv1.3_2025` como valores de parámetros para este control. | 
| 14 de octubre de 2025 | [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) | El CSPM de Security Hub modificó el título, la descripción y la regla de este control. Anteriormente, el control comprobaba los clústeres de Redis OSS y todos los grupos de replicación mediante la regla [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html). El título del control era: Los *clústeres ElastiCache (Redis OSS)* deberían tener habilitadas las copias de seguridad automáticas. [Este control ahora comprueba los clústeres de Valkey, además de los clústeres de Redis OSS y todos los grupos de replicación, mediante la elasticache-automatic-backup-check regla -enabled.](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) El nuevo título y la nueva descripción reflejan que el control evalúa ambos tipos de clústeres.  | 
| 5 de octubre de 2025 | [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) | La regla de este control se actualizó para generar también un `PASSED` resultado si un dominio de Amazon OpenSearch Service no tiene actualizaciones de software disponibles y el estado de la actualización no es apto. Anteriormente, este control solo generaba `PASSED` resultados si un OpenSearch dominio no tenía actualizaciones de software disponibles y el estado de la actualización era completo.  | 
| 24 de septiembre de 2025 | Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado [RedshiftServerless.7] Los espacios de nombres Redshift Serverless no deben usar el nombre de base de datos predeterminado | El CSPM de Security Hub retiró estos controles y los eliminó de todos los estándares aplicables. El CSPM de Security Hub retiró estos controles debido a limitaciones inherentes de Amazon Redshift que impedían una remediación efectiva de los resultados `FAILED` generados por estos controles. Anteriormente, los controles se aplicaban al estándar [Prácticas recomendadas de seguridad básica de AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), así como al estándar [NIST SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html). El control Redshift.9 también se aplicaba al [estándar administrado por el servicio de AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html).  | 
| 9 de septiembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir `nodejs18.x` como valor de parámetro para este control. AWS Lambda dejó de admitir los tiempos de ejecución de Node.js 18. | 
| 13 de agosto de 2025 | [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la descripción reflejan con mayor precisión que el control comprueba la configuración del `EnableNetworkIsolation` parámetro de los modelos alojados en Amazon SageMaker AI. Anteriormente, el título de este control era: *SageMaker models should block inbound traffic*.  | 
| 13 de agosto de 2025 | [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la nueva descripción describen con mayor exactitud el alcance y la naturaleza de la comprobación que realiza este control. Anteriormente, el título de este control era: *EFS mount targets should not be associated with a public subnet*.  | 
| 24 de julio de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.30` a `1.31`. La compatibilidad estándar con la versión 1.30 de Kubernetes en Amazon EKS finalizó el 23 de julio de 2025.  | 
| 23 de julio de 2025 | [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba las solicitudes de la flota de spot de Amazon EC2 que especifican parámetros de lanzamiento. Anteriormente, el título de este control era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| 30 de junio de 2025 | [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) | El CSPM de Security Hub eliminó este control del estándar [PCI DSS v4.0.1](pci-standard.md). PCI DSS v4.0.1 no exige explícitamente el uso de símbolos en las contraseñas.  | 
| 30 de junio de 2025 | [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) | El CSPM de Security Hub eliminó este control del estándar [NIST SP 800-171 Revisión 2](standards-reference-nist-800-171.md). NIST SP 800-171 Revisión 2 no exige explícitamente periodos de expiración de contraseñas de 90 días o menos.  | 
| 30 de junio de 2025 | [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba los clústeres de bases de datos Amazon Aurora. Anteriormente, el título de este control era: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| 30 de junio de 2025 | [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) | Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma compatible, en función del identificador de plataforma especificado para la instancia de portátil. El CSPM de Security Hub dejó de admitir `notebook-al2-v1` y `notebook-al2-v2` como valores de parámetro para este control. Las instancias de bloc de notas que se ejecutan en estas plataformas llegaron al fin de su periodo de soporte el 30 de junio de 2025. | 
| 30 de mayo de 2025 | [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) | El CSPM de Security Hub eliminó este control del estándar [PCI DSS v4.0.1](pci-standard.md). Este control verifica si las políticas de contraseñas de las cuentas de usuario de IAM cumplen los requisitos mínimos, incluida una longitud mínima de 7 caracteres. La versión 4.0.1 de PCI DSS ahora requiere que las contraseñas tengan un mínimo de 8 caracteres. Este control aún se aplica al estándar PCI DSS v3.2.1, el cual tiene requisitos distintos para contraseñas. Para evaluar las políticas de contraseñas de cuentas conforme a los requisitos de PCI DSS v4.0.1, puede usar el control [IAM.7](iam-controls.md#iam-7). Este control exige que las contraseñas tengan un mínimo de 8 caracteres. También admite valores personalizados para la longitud de las contraseñas y otros parámetros. El control IAM.7 forma parte del estándar PCI DSS v4.0.1 en el CSPM de Security Hub.  | 
| 8 de mayo de 2025 | [RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet | El CSPM de Security Hub revirtió la publicación del control RDS.46 en todas las Regiones de AWS. Anteriormente, este control era compatible con el estándar AWS Foundational Security Best Practices (FSBP). | 
| 7 de abril de 2025 | [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) | Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El CSPM de Security Hub ahora admite dos valores de parámetro adicionales para este control: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` y `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`. | 
| 27 de marzo de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. Security Hub CSPM ahora admite `ruby3.4` como valor de parámetro para este control. AWS Lambda se agregó soporte para este tiempo de ejecución. | 
| 26 de marzo de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. Para el parámetro `oldestVersionSupported`, el CSPM de Security Hub cambió el valor de `1.29` a `1.30`. `1.30` es ahora la versión más antigua de Kubernetes que aún es compatible. | 
| 10 de marzo de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. El CSPM de Security Hub ya no admite `dotnet6` ni `python3.8` como valores de parámetro para este control. AWS Lambda ya no es compatible con estos tiempos de ejecución. | 
| 7 de marzo de 2025 | [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) | Security Hub CSPM eliminó este control del estándar de mejores prácticas de seguridad AWS fundamentales y automatizó las comprobaciones de los requisitos del NIST SP 800-53 Rev. 5. Dado que la red Amazon EC2-Classic se retiró, las instancias de Amazon Relational Database Service (Amazon RDS) ya no se pueden implementar fuera de una VPC. El control aún forma parte del [estándar administrado por el servicio de AWS Control Tower](service-managed-standard-aws-control-tower.md). | 
| 10 de enero de 2025 | [Glue.2] Los trabajos de AWS pegado deberían tener habilitado el registro | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. | 
| 20 de diciembre de 2024 | EC2.61 a EC2.169  | El CSPM de Security Hub revirtió la publicación de los controles EC2.61 a EC2.169. | 
| 12 de diciembre de 2024 | [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23)  | RDS.23 comprueba si un clúster o una instancia de Amazon Relational Database Service (Amazon RDS) utiliza un puerto distinto al puerto predeterminado del motor de base de datos. Hemos actualizado el control para que la AWS Config regla subyacente devuelva un resultado de las instancias NOT\$1APPLICABLE de RDS que forman parte de un clúster. | 
| 2 de diciembre de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite nodejs22.x como parámetro. | 
| 26 de noviembre de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. 1.29 es ahora la versión más antigua compatible. | 
| 20 de noviembre de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | La configuración 1 comprueba si AWS Config está habilitada, usa la función vinculada al servicio y registra los recursos para los controles habilitados. El CSPM de Security Hub aumentó la gravedad de este control de `MEDIUM` a `CRITICAL`. El CSPM de Security Hub también agregó [nuevos códigos y motivos de estado](controls-findings-create-update.md#control-findings-asff-compliance) para los resultados fallidos de Config.1. Estos cambios reflejan la importancia de Config.1 para el funcionamiento de los controles del CSPM de Security Hub. Si tiene deshabilitado el registro de recursos AWS Config o el registro de recursos, puede recibir resultados de control inexactos. Para recibir un resultado `PASSED` para el control Config.1, active el registro de recursos para los tipos de recursos que correspondan a los controles habilitados del CSPM de Security Hub y desactive los controles que no sean necesarios en la organización. Para obtener instrucciones sobre la configuración AWS Config de Security Hub CSPM, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para ver la lista de los controles del CSPM de Security Hub y sus recursos correspondientes, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md). | 
| 12 de noviembre de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.13 como parámetro. | 
| 11 de octubre de 2024 | ElastiCache controles  | Se han cambiado los títulos de los controles para las versiones ElastiCache 3.3, ElastiCache .4, ElastiCache .5 y ElastiCache .7. Los títulos ya no mencionan Redis OSS porque los controles también se aplican a Valkey. ElastiCache  | 
| 27 de septiembre de 2024 | [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4)  | Se cambió el título del control de El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http a El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos. | 
| 19 de agosto de 2024 | El título cambia a DMS.12 y controles ElastiCache  | Se han cambiado los títulos de los controles de los DMS.12 y ElastiCache de 1.1 a 0.7. ElastiCache Hemos cambiado estos títulos para reflejar un cambio de nombre en el servicio Amazon ElastiCache (Redis OSS). | 
| 15 de agosto de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | La configuración 1 comprueba si AWS Config está habilitada, usa la función vinculada al servicio y registra los recursos para los controles habilitados. El CSPM de Security Hub agregó un parámetro personalizado para el control llamado includeConfigServiceLinkedRoleCheck. Si establece este parámetro en false, puede optar por no comprobar si AWS Config utiliza el rol vinculado al servicio. | 
| 31 de julio de 2024 | [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)  | Se cambió el título del control de Los perfiles de seguridad de AWS IoT Core deben estar etiquetados a Los perfiles de seguridad de AWS IoT Device Defender deben estar etiquetados. | 
| 29 de julio de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir nodejs16.x como parámetro. | 
| 29 de julio de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.28. | 
| 25 de junio de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | Este control comprueba si AWS Config está activado, utiliza la función vinculada al servicio y registra los recursos de los controles habilitados. El CSPM de Security Hub actualizó el título del control para reflejar lo que el control evalúa. | 
| 14 de junio de 2024 | [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)  | Este control comprueba si un clúster de base de datos Amazon Aurora MySQL está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El CSPM de Security Hub actualizó el control para que no genere resultados para los clústeres de bases de datos de Aurora sin servidor v1. | 
| 11 de junio de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.27. | 
| 10 de junio de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | Este control comprueba si AWS Config está activado y el registro de AWS Config recursos está activado. Anteriormente, el control solo generaba un resultado PASSED si se configuraba el registro para todos los recursos. El CSPM de Security Hub actualizó el control para generar un resultado PASSED cuando el registro está activado para recursos que se requieren para controles habilitados. El control también se ha actualizado para comprobar si se utiliza la función AWS Config vinculada al servicio, que proporciona permisos para registrar los recursos necesarios. | 
| 8 de mayo de 2024 | [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)  | Este control comprueba si el bucket con control de versiones de uso general de Amazon S3 tiene habilitada la eliminación de la autenticación multifactor (MFA). Anteriormente, el control generaba un resultado FAILED para los buckets que tenían una configuración de ciclo de vida. Sin embargo, la eliminación de la MFA con el control de versiones no se puede habilitar en un bucket que tenga una configuración de ciclo de vida. El CSPM de Security Hub actualizó el control para que no genere resultados para los buckets que tienen una configuración de ciclo de vida. La descripción del control se actualizó para reflejar el comportamiento actual.  | 
| 2 de mayo de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.26. | 
| 30 de abril de 2024 | [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)  | Se ha cambiado el título del control de CloudTrail Debe estar activado a Al menos una CloudTrail ruta debe estar habilitada. Actualmente, este control produce un PASSED resultado si un sendero Cuenta de AWS tiene activado al menos un CloudTrail sendero. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 29 de abril de 2024 | [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1)  | Se cambió el título del control de Los grupos de escalado automático asociados a un equilibrador de carga clásico deben usar las comprobaciones de estado a Los grupos de escalado automático asociados a un equilibrador de carga deben usar comprobaciones de estado de ELB. Actualmente, este control evalúa los equilibradores de carga clásicos, de red, de puerta de enlace y de aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 19 de abril de 2024 | [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  | El control comprueba si AWS CloudTrail está habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura. Anteriormente, el control generaba PASSED resultados de forma incorrecta cuando una cuenta tenía CloudTrail habilitada y configurada al menos un registro multirregional, incluso si ningún registro capturaba los eventos de administración de lectura y escritura. El control ahora genera un PASSED resultado solo cuando CloudTrail está habilitado y configurado con al menos un registro multirregional que captura los eventos de administración de lectura y escritura. | 
| 10 de abril de 2024 | [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los grupos de trabajo de Athena envían registros a buckets de Amazon Simple Storage Service (Amazon S3). Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes. | 
| 10 de abril de 2024 | [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los límites de saltos de respuesta de metadatos para instancias de Amazon Elastic Compute Cloud (Amazon EC2) dependen de las cargas de trabajo. | 
| 10 de abril de 2024 | [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Integrar pilas de AWS CloudFormation con temas de Amazon SNS ya no es una práctica de seguridad recomendada. Si bien puede resultar útil integrar CloudFormation pilas importantes con temas de SNS, no es obligatorio para todas las pilas. | 
| 10 de abril de 2024 | [CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener habilitado el modo privilegiado  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Habilitar el modo privilegiado en un CodeBuild proyecto no supone un riesgo adicional para el entorno del cliente. | 
| 10 de abril de 2024 | [IAM.20] Evitar el uso del usuario raíz  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. El propósito de este control está cubierto por otro control, [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1). | 
| 10 de abril de 2024 | [SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Registrar el estado de entrega de los temas de SNS ya no es una práctica de seguridad recomendada. Aunque registrar el estado de entrega de los temas importantes del SNS puede resultar útil, no es obligatorio para todos los temas. | 
| 10 de abril de 2024 | [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower El propósito de este control está cubierto por otros dos controles: [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) y [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14). Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower Si bien hay algunos casos en los que las notificaciones de eventos para los buckets de S3 son útiles, no se trata de una práctica de seguridad universal recomendada. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower De forma predeterminada, SNS cifra los temas en reposo mediante el cifrado de disco. Para más información, consulte [Cifrado de datos](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). Ya no se recomienda AWS KMS su uso para cifrar temas como una mejor práctica de seguridad. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 8 de abril de 2024 | [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6)  | Se cambió el título del control de El equilibrador de carga de aplicación debe tener habilitada la protección contra eliminaciones a Los equilibradores de carga de red, de las aplicaciones y de la puerta de enlace deben tener habilitada la protección contra eliminaciones. Actualmente, este control evalúa los equilibradores de carga de red, puertas de enlace y aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 22 de marzo de 2024 | [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)  | Se cambió el título de control de Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2 a Las conexiones a OpenSearch los dominios deben cifrarse mediante la última política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los OpenSearch dominios utilizaban TLS 1.2. El control ahora determina si los OpenSearch dominios están cifrados con la última política de seguridad de TLS. PASSED El título y la descripción del control se actualizaron para reflejar el comportamiento actual.  | 
| 22 de marzo de 2024 | [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)  | Se cambió el título del control de Las conexiones a dominios de Elasticsearch deben estar cifradas a través de TLS 1.2 a Las conexiones a los dominios de Elasticsearch deben estar cifrados a través de la última política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los dominios de Elasticsearch utilizaban TLS 1.2. El control ahora genera un resultado PASSED si los dominios de Elasticsearch están cifrados a través de la última política de seguridad de TLS. El título y la descripción del control se actualizaron para reflejar el comportamiento actual.  | 
| 12 de marzo de 2024 | [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  | El título cambió de La configuración del bloqueo de acceso público de S3 debe estar habilitada a Los buckets de uso general de S3 deben tener el bloqueo de acceso público habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2)  | Se cambió el título de Los buckets de S3 deben prohibir el acceso de lectura público a Los buckets de uso general de S3 deben bloquear el acceso de lectura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3)  | Se cambió el título de Los buckets de S3 deben prohibir el acceso de escritura público a Los buckets de uso general de S3 deben bloquear el acceso de escritura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  | Se cambió el título de Los buckets de S3 deben requerir solicitudes para usar Secure Socket Layer a Los buckets de uso general de S3 deben requerir solicitudes para usar SSL. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)  | Se cambió el título de Los permisos de S3 concedidos a otras Cuentas de AWS en las políticas de bucket deben restringirse a Las políticas de bucket de uso general de S3 deben restringir el acceso a otras Cuentas de AWS. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)  | Se cambió el título de La configuración de acceso público al bloque S3 debe estar habilitada en el nivel de bucket a Los buckets de uso general de S3 deben bloquear el acceso público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)  | Se cambió el título de Se debe habilitar el registro de acceso al bucket de S3 a Se debe habilitar el registro de acceso al servidor para los buckets de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)  | Se cambió el título de Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)  | Se cambió el título de Los buckets de S3 deben tener las notificaciones de eventos habilitadas a Los buckets de uso general de S3 deben tener las notificaciones de eventos habilitadas. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)  | El título ha cambiado de listas de control de acceso de S3 (ACLs) y no debe utilizarse para gestionar el acceso de los usuarios a los depósitos a no ACLs debe utilizarse para gestionar el acceso de los usuarios a los depósitos de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)  | Se cambió el título de Los buckets de S3 deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)  | Se cambió el título de Los buckets de S3 deben utilizar el control de versiones a Los buckets de uso general de S3 deben tener el control de versiones habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15)  | Se cambió el título de Los buckets de S3 deben configurarse para usar el Bloqueo de objetos a Los buckets de uso general de S3 deben tener Bloqueo de objetos habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)  | Se cambió el título de Los buckets de S3 deben estar cifrados en reposo a través de AWS KMS keys a Los buckets de uso general de S3 deben estar cifrados en reposo a través de AWS KMS keys. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 7 de marzo de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub admite ahora nodejs20.x y ruby3.3 como parámetros. | 
| 22 de febrero de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite dotnet8 como parámetro. | 
| 5 de febrero de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.25.  | 
| 10 de enero de 2024 | [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)  | El título modificado del repositorio fuente de Bitbucket CodeBuild GitHub o el que se URLs debe usar OAuth al repositorio fuente de CodeBuild Bitbucket no debe contener credenciales confidenciales. URLs Security Hub CSPM eliminó la mención OAuth porque otros métodos de conexión también pueden ser seguros. CSPM eliminó la mención de Security Hub GitHub porque ya no es posible tener un token de acceso personal o un nombre de usuario y contraseña en el repositorio de GitHub origen. URLs | 
| 8 de enero de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ya no admite go1.x ni java8 como parámetros porque se trata de tiempos de ejecución retirados. | 
| 29 de diciembre de 2023 | [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8)  | RDS.8 comprueba si una instancia de base de datos de Amazon RDS que utiliza uno de los motores de bases de datos compatibles tiene habilitada la protección contra eliminaciones. El CSPM de Security Hub admite ahora custom-oracle-ee, oracle-ee-cdb y oracle-se2-cdb como motores de bases de datos. | 
| 22 de diciembre de 2023 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub admite ahora java21 y python3.12 como parámetros. El CSPM de Security Hub dejó de admitir ruby2.7 como parámetro. | 
| 15 de diciembre de 2023 | [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 comprueba si una CloudFront distribución de Amazon tiene configurado un objeto raíz predeterminado. El CSPM de Security Hub redujo la gravedad de este control de CRÍTICA a ALTA porque agregar el objeto raíz predeterminado es una recomendación que depende de la aplicación del usuario y de sus requisitos específicos. | 
| 5 de diciembre de 2023  | [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | Se ha cambiado el título del control de Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.  | 
| 5 de diciembre de 2023  | [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  | Se ha cambiado el título del control de Asegúrese de que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.  | 
| 5 de diciembre de 2023  | [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)  | Si se ha cambiado el título del control, el registro de bases de datos debe estar activado y las instancias de base de datos de RDS deben publicar los registros en los CloudWatch registros. Security Hub CSPM identificó que este control solo comprueba si los registros se publican en Amazon CloudWatch Logs y no comprueba si los registros de RDS están habilitados. El control determina si las instancias de PASSED base de datos de RDS están configuradas para publicar registros en Logs. CloudWatch El título del control se ha actualizado para reflejar el comportamiento actual.  | 
| 5 de diciembre de 2023 | [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)  | Este control comprueba si los clústeres de Amazon EKS tienen habilitado el registro de auditoría. La AWS Config regla que utiliza Security Hub CSPM para evaluar este control cambió de eks-cluster-logging-enabled a. eks-cluster-log-enabled | 
| 17 de noviembre de 2023  | [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)  | EC2.19 comprueba si el tráfico ilimitado entrante de un grupo de seguridad es accesible para los puertos especificados que se consideran de mayor riesgo. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de noviembre de 2023  | [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)  | Al cambiar el título del control, CloudWatch las alarmas deberían tener una acción configurada para el estado de ALARMA y  CloudWatch las alarmas deberían tener configuradas las acciones especificadas.  | 
| 16 de noviembre de 2023  | [[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico](cloudwatch-controls.md#cloudwatch-16)  | El título de control modificado, de grupos de CloudWatch registros, debe conservarse durante al menos 1 año, a grupos de CloudWatch registros, debe conservarse durante un período de tiempo específico.  | 
| 16 de noviembre de 2023  | [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)  | Se ha cambiado el título de control de Las funciones de Lambda de la VPC deben funcionar en más de una zona de disponibilidad a Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad.  | 
| 16 de noviembre de 2023  | [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)  | Se ha cambiado el título de control de AWS AppSync debe tener activado el registro a nivel de solicitud y a nivel de campo a AWS AppSync debe tener habilitado el registro a nivel de campo.  | 
| 16 de noviembre de 2023  | [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)  | Se cambió el título de control de los nodos maestros del MapReduce clúster de Amazon Elastic no deberían tener direcciones IP públicas a los nodos principales del clúster de Amazon EMR no deberían tener direcciones IP públicas.  | 
| 16 de noviembre de 2023  | [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)  | El título de control modificado de OpenSearch los dominios debería estar en una VPC a OpenSearchdominios que no deberían ser de acceso público.  | 
| 16 de noviembre de 2023  | [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)  | Se ha cambiado el título de control de Los dominios de Elasticsearch deben estar en una VPC a Los dominios de Elasticsearch no deben ser de acceso público.  | 
| 31 de octubre de 2023  | [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)  | ES.4 comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a Amazon Logs. CloudWatch Anteriormente, el control PASSED encontró un dominio de Elasticsearch que tenía todos los registros configurados para enviarlos a Logs. CloudWatch Security Hub CSPM actualizó el control para producir una PASSED búsqueda solo para un dominio de Elasticsearch que esté configurado para enviar registros de errores a Logs. CloudWatch El control también se actualizó para excluir de la evaluación versiones de Elasticsearch que no admiten registros de errores.  | 
| 16 de octubre de 2023  | [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | EC2.13 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 22. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  | EC2.14 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 3389. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)  | EC2.18 comprueba si los grupos de seguridad que se están utilizando permiten el acceso de tráfico ilimitado entrante. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.11 como parámetro.  | 
| 4 de octubre de 2023  | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | El CSPM de Security Hub agregó el parámetro ReplicationType con un valor CROSS-REGION para garantizar que los buckets de S3 tengan habilitada la replicación entre regiones en lugar de la replicación en la misma región.  | 
| 27 de septiembre de 2023  | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.24.  | 
| 20 de septiembre de 2023  | [CloudFront.2] las CloudFront distribuciones deben tener habilitada la identidad de acceso de origen  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. En su lugar, consulte [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13). El control de acceso de Origin es la mejor práctica de seguridad actual. Este control se eliminará de la documentación en 90 días. | 
| 20 de septiembre de 2023  | [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices (FSBP) y del National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Sigue formando parte del estándar de gestión de servicios:. AWS Control Tower Este control de produce un resultado aprobado si los grupos de seguridad están conectados a instancias EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.  | 
| 20 de septiembre de 2023  | [EC2.29] Las instancias EC2 deben lanzarse en una VPC  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon EC2 ha migrado las instancias EC2-Classic a una VPC. Este control se eliminará de la documentación en 90 días. | 
| 20 de septiembre de 2023  | [S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes. La configuración de cifrado no ha cambiado para los buckets existentes que se cifran con el cifrado SS3 -S3 o SS3 -KMS del lado del servidor. Este control se eliminará de la documentación en 90 días.  | 
| 14 de septiembre de 2023  | [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  | Se cambió el título de control de El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente a Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente.  | 
| 14 de septiembre de 2023  | [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  | Se cambió el título de control de La MFA virtual debe estar habilitada para el usuario raíz a La MFA debe estar habilitada para el usuario raíz.  | 
|  14 de septiembre de 2023  | [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19)  | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos de clúster críticos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos de clúster críticos.  | 
| 14 de septiembre de 2023  | [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)  | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de instancias de bases de datos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de instancias de bases de datos.  | 
| 14 de septiembre de 2023  | [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)  | Se cambió el título de control de Una regla regional de WAF debe tener al menos una condición a Las reglas regionales de AWS WAF Classic deben tener al menos una condición.  | 
| 14 de septiembre de 2023  | [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)  | Se cambió el título de control de Un grupo de reglas regionales de WAF debe tener al menos una regla a Los grupos de reglas regionales de AWS WAF Classic deben tener al menos una regla.  | 
| 14 de septiembre de 2023  | [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)  | Se ha cambiado el título del control: Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas a una web regional AWS WAF clásica, ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)  | Se cambió el título de control de Una regla global de WAF debe tener al menos una condición a Las reglas globales de AWS WAF Classic deben tener al menos una condición.  | 
| 14 de septiembre de 2023  | [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)  | Se cambió el título de control de Un grupo de reglas globales de WAF debe tener al menos una regla a Los grupos de reglas globales de AWS WAF Classic deben tener al menos una regla.  | 
| 14 de septiembre de 2023  | [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)  | Se ha cambiado el título del control de una ACL web global de WAF que debe tener al menos una regla o grupo de reglas a una web global AWS WAF clásica que ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)  | El título de control cambiado de una ACL WAFv2 web debe tener al menos una regla o grupo de reglas a AWS WAF web ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)  | Se cambió el título de control de El registro de la ACL web de AWS WAF v2 debe estar activado a El registro de la ACL web de AWS WAF debe estar habilitado.  | 
|  20 de julio de 2023  | [S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor  | S3.4 comprueba si el bucket de Amazon S3 tiene habilitado el cifrado del lado del servidor o que la política de bucket de S3 deniega explícitamente las solicitudes PutObject sin cifrado del lado del servidor. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-S3, SSE-KMS o DSSE-KMS.  | 
| 17 de julio de 2023  | [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)  | S3.17 comprueba si un bucket de Amazon S3 está cifrado con un AWS KMS key. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-KMS o DSSE-KMS.  | 
| 9 de junio de 2023  | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | EKS.2 comprueba si un clúster de Amazon EKS se está ejecutando en una versión compatible de Kubernetes. La versión compatible más antigua es ahora 1.23.  | 
| 9 de junio de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite ruby3.2 como parámetro.  | 
| 5 de junio de 2023  | [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5)  | APIGateway.5. Comprueba si todos los métodos de las etapas de la API REST de Amazon API Gateway están cifrados en reposo. El CSPM de Security Hub actualizó el control para evaluar el cifrado de un método específico únicamente cuando el almacenamiento en caché está habilitado para ese método.  | 
| 18 de mayo de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite java17 como parámetro.  | 
| 18 de mayo de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir nodejs12.x como parámetro.  | 
| 23 de abril de 2023  | [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)  | ECS.10 comprueba si los servicios Fargate de Amazon ECS ejecutan la versión de la plataforma Fargate más reciente. Los clientes pueden implementar Amazon ECS a través de ECS directamente o mediante CodeDeploy. Security Hub CSPM actualizó este control para generar resultados aprobados cuando se utilizan CodeDeploy para implementar los servicios Fargate de ECS.  | 
| 20 de abril de 2023  | [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)  | El S3.6 comprueba si una política de bucket de Amazon Simple Storage Service (Amazon S3) impide que los directores de Cuentas de AWS otras entidades realicen acciones denegadas en los recursos del bucket de S3. El CSPM de Security Hub actualizó el control para tener en cuenta los condicionales de una política de bucket.  | 
| 18 de abril de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.10 como parámetro. | 
| 18 de abril de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir dotnetcore3.1 como parámetro. | 
| 17 de abril de 2023  | [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11)  | RDS.11 comprueba si las instancias de Amazon RDS tienen habilitadas las copias de seguridad automáticas, con un periodo de retención de las copias de seguridad superior o igual a siete días. El CSPM de Security Hub actualizó este control para excluir las réplicas de lectura de la evaluación, ya que no todos los motores admiten copias de seguridad automatizadas en las réplicas de lectura. Además, RDS no ofrece la opción de especificar un periodo de retención de las copias de seguridad al crear réplicas de lectura. Las réplicas de lectura se crean con un periodo de retención predeterminado de la copia de seguridad de 0.  | 

# Controles CSPM de Security Hub para Cuentas de AWS
<a name="account-controls"></a>

Estos controles CSPM de Security Hub evalúan. Cuentas de AWS

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
<a name="account-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.2, NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una cuenta de Amazon Web Services (AWS) tiene información de contacto de seguridad. El control falla si no se proporciona la información de contacto de seguridad de la cuenta.

Los contactos de AWS seguridad alternativos te permiten ponerte en contacto con otra persona en caso de que tengas problemas con tu cuenta en caso de que no estés disponible. Las notificaciones pueden provenir de Soporte otros equipos o de otros Servicio de AWS equipos sobre temas relacionados con la seguridad relacionados con tu Cuenta de AWS uso.

### Corrección
<a name="account-1-remediation"></a>

Para añadir un contacto alternativo como contacto de seguridad al tuyo Cuenta de AWS, consulta [Actualizar tus contactos alternativos Cuenta de AWS en la Guía](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) de *referencia de administración de AWS cuentas*.

## [Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
<a name="account-2"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una Cuenta de AWS forma parte de una organización gestionada a través de ella. AWS Organizations El control falla si la cuenta no forma parte de una organización.

Organizations le ayuda a administrar su entorno de forma centralizada a medida que amplía sus cargas de trabajo. AWS Puede usar varias Cuentas de AWS para aislar las cargas de trabajo que tienen requisitos de seguridad específicos o para cumplir con marcos como la HIPAA o la PCI. Al crear una organización, puede administrar varias cuentas como una sola unidad y administrar de forma centralizada su acceso a Servicios de AWS los recursos y las regiones.

### Corrección
<a name="account-2-remediation"></a>

Para crear una nueva organización y Cuentas de AWS añadirla automáticamente, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) en la *Guía del AWS Organizations usuario*. Para añadir cuentas a una organización existente, consulte [Invitar a un usuario Cuenta de AWS a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) en la *Guía del AWS Organizations usuario*.

# Controles CSPM de Security Hub para AWS Amplify
<a name="amplify-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Amplify servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
<a name="amplify-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Amplify::App`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS Amplify aplicación tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la aplicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la aplicación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="amplify-1-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS Amplify aplicación, consulta la [compatibilidad con el etiquetado de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) en la *Guía del usuario de AWS Amplify hosting*.

## [Amplify.2] Las ramas de Amplify deben estar etiquetadas
<a name="amplify-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Amplify::Branch`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS Amplify rama tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la rama no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la rama no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="amplify-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS Amplify sucursal, consulta la [compatibilidad con el etiquetado de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) en la *Guía del usuario de AWS Amplify hosting*.

# Controles de CSPM de Security Hub para Amazon API Gateway
<a name="apigateway-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon API Gateway. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
<a name="apigateway-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, niST.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Nivel de registro  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Este control comprueba si todas las etapas de un REST o API de Amazon WebSocket API Gateway tienen habilitado el registro. Se produce un error en el control si `loggingLevel` no figura como `ERROR` o `INFO` en todas las etapas de la API. A menos que proporcione valores de parámetros personalizados para indicar que se debe habilitar un tipo de registro específico, Security Hub CSPM produce una conclusión válida si el nivel de registro es o`ERROR`. `INFO`

Las etapas REST o WebSocket API de API Gateway deben tener habilitados los registros relevantes. El registro de ejecución de WebSocket API y REST de API Gateway proporciona registros detallados de las solicitudes realizadas a las etapas REST y WebSocket API de API Gateway. Las etapas incluyen las respuestas de backend de integración de API, las respuestas del autorizador de Lambda y las de `requestId` los AWS puntos finales de integración.

### Corrección
<a name="apigateway-1-remediation"></a>

Para habilitar el registro de las operaciones de WebSocket REST y API, consulte [Configurar el registro de CloudWatch API mediante la consola de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end
<a name="apigateway-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.15

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las etapas de la API de REST de Amazon API Gateway tienen certificados SSL configurados. Los sistemas de backend utilizan estos certificados para autenticar que las solicitudes entrantes provienen de API Gateway.

Las etapas de la API de REST de API Gateway deben configurarse con certificados SSL para permitir que los sistemas de backend autentiquen que las solicitudes se originan en API Gateway.

### Corrección
<a name="apigateway-2-remediation"></a>

Para obtener instrucciones detalladas sobre cómo generar y configurar los certificados SSL de la API de REST de API Gateway, consulte [Generar y configurar un certificado SSL para la autenticación de backend](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado
<a name="apigateway-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el rastreo AWS X-Ray activo está habilitado para las etapas de la API REST de Amazon API Gateway.

El rastreo activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían provocar una falta de disponibilidad de la API. El rastreo activo de X-Ray proporciona métricas en tiempo real de las solicitudes de los usuarios que fluyen a través de las operaciones de la API de REST y los servicios conectados de API Gateway.

### Corrección
<a name="apigateway-3-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar el rastreo activo de X-Ray para las operaciones de la API de REST de API Gateway, consulte la [Compatibilidad con el rastreo activo de Amazon API Gateway para AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) en la *Guía para desarrolladores de AWS X-Ray *. 

## [APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
<a name="apigateway-4"></a>

**Requisitos relacionados: NIST.800-53.r5 AC-4 (21**)

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una etapa de API Gateway utiliza una lista de control de acceso (ACL) AWS WAF web. Este control falla si una ACL AWS WAF web no está conectada a una etapa REST API Gateway.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la etapa de API Gateway esté asociada a una ACL AWS WAF web para ayudar a protegerla de ataques maliciosos.

### Corrección
<a name="apigateway-4-remediation"></a>

Para obtener información sobre cómo usar la consola de API Gateway para asociar una ACL web AWS WAF regional a una etapa de API de API Gateway existente, consulte [Using AWS WAF to protect your APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
<a name="apigateway-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría:** Proteger - Protección de datos - Cifrado de datos en reposo

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**AWS Config regla:** `api-gw-cache-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si todos los métodos de las etapas de la API de REST de API Gateway que tienen la caché habilitada están cifrados. El control falla si algún método de una etapa de API de REST de API Gateway está configurado para almacenar en caché y la caché no está cifrada. Security Hub CSPM evalúa el cifrado de un método en particular solo cuando el almacenamiento en caché está habilitado para ese método.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.

Las cachés de la API de REST de API Gateway deben cifrarse en reposo para ofrecer una capa de seguridad adicional.

### Corrección
<a name="apigateway-5-remediation"></a>

Para configurar el almacenamiento en caché de API para una etapa, consulte [Habilitar el almacenamiento en caché de Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) en la *Guía para desarrolladores de API Gateway*. En **Configuración de caché**, seleccione **Cifrar datos de caché.**

## [APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
<a name="apigateway-8"></a>

**Requisitos relacionados:** NIst.800-53.r5 CM-2 NIST.800-53.r5 AC-3, NIst.800-53.r5 CM-2 (2)

**Categoría:** Proteger > Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Route`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Tipo de autorización de las rutas de API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Sin valor predeterminado  | 

Este control comprueba si las rutas de Amazon API Gateway tienen un tipo de autorización. Se produce un error en el control si la ruta de API Gateway no tiene ningún tipo de autorización. También, puede proporcionar un valor personalizado de parámetro si quiere que el control pase únicamente si la ruta utiliza el tipo de autorización especificado en el parámetro `authorizationType`.

API Gateway admite varios mecanismos para controlar y administrar el acceso a la API. Al especificar un tipo de autorización, puede restringir el acceso a tu API solo a los usuarios o procesos autorizados.

### Corrección
<a name="apigateway-8-remediation"></a>

Para configurar un tipo de autorización para HTTP APIs, consulte [Control y administración del acceso a una API HTTP en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) en la *Guía para desarrolladores de API Gateway*. Para configurar un tipo de autorización WebSocket APIs, consulte [Control y administración del acceso a una WebSocket API en API Gateway en](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) la *Guía para desarrolladores de API Gateway*.

## [APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
<a name="apigateway-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las etapas de Amazon API Gateway V2 tienen configurado el registro de acceso. Este control falla si no se ha definido la configuración del registro de acceso.

Los registros de acceso a API Gateway proporcionan información detallada sobre quién ha obtenido acceso a la API y cómo la persona que llama ha obtenido acceso a la API. Estos registros son útiles para aplicaciones como las auditorías de seguridad y acceso y la investigación forense. Habilite estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información sobre las prácticas recomendadas, consulte [Supervisión de REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) en la *Guía para desarrolladores de API Gateway*.

### Corrección
<a name="apigateway-9-remediation"></a>

Para configurar el registro de acceso, consulte [Configurar el registro de CloudWatch API mediante la consola de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) en la *Guía para desarrolladores de API Gateway*. 

## [APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas
<a name="apigateway-10"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Integration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una integración de API Gateway V2 tiene HTTPS habilitado para las conexiones privadas. El control falla si una conexión privada no tiene TLS configurado.

Los enlaces de VPC conectan API Gateway con recursos privados. Si bien los enlaces de VPC crean conectividad privada, no cifran los datos de forma inherente. La configuración de TLS garantiza el uso de HTTPS para el end-to-end cifrado desde el cliente a través de API Gateway hasta el backend. Sin TLS, el tráfico confidencial de la API fluye sin cifrar a través de las conexiones privadas. El cifrado HTTPS protege el tráfico a través de conexiones privadas contra la interceptación de datos, los man-in-the-middle ataques y la exposición de credenciales. 

### Corrección
<a name="apigateway-10-remediation"></a>

Para habilitar el cifrado en tránsito para las conexiones privadas en una integración de API Gateway v2, consulte [Actualizar una integración privada](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) en la *Guía para desarrolladores de Amazon API Gateway*. Configure la [configuración de TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) para que la integración privada utilice el protocolo HTTPS.

# Controles CSPM de Security Hub para AWS AppConfig
<a name="appconfig-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS AppConfig servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
<a name="appconfig-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::Application`

**Regla de AWS Config : ** `appconfig-application-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS AppConfig aplicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la aplicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la aplicación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-1-remediation"></a>

Para añadir etiquetas a una AWS AppConfig aplicación, consulte la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
<a name="appconfig-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::ConfigurationProfile`

**Regla de AWS Config : ** `appconfig-configuration-profile-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un perfil de AWS AppConfig configuración tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el perfil de configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el perfil de configuración no tiene ninguna clave de etiqueta. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-2-remediation"></a>

Para añadir etiquetas a un perfil AWS AppConfig de configuración, consulte la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
<a name="appconfig-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::Environment`

**Regla de AWS Config : ** `appconfig-environment-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS AppConfig entorno tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el entorno no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el entorno no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-3-remediation"></a>

Para añadir etiquetas a un AWS AppConfig entorno, consulta la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
<a name="appconfig-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::ExtensionAssociation`

**Regla de AWS Config : ** `appconfig-extension-association-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una asociación de AWS AppConfig extensiones tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la asociación de extensión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la asociación de extensión no tiene ninguna clave de etiqueta. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-4-remediation"></a>

Para añadir etiquetas a una asociación de AWS AppConfig extensiones, consulta la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

# Controles CSPM de Security Hub para Amazon AppFlow
<a name="appflow-controls"></a>

Estos controles CSPM de Security Hub evalúan el AppFlow servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
<a name="appflow-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppFlow::Flow`

**Regla de AWS Config : ** `appflow-flow-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AppFlow flujo de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appflow-1-remediation"></a>

Para añadir etiquetas a un AppFlow flujo de Amazon, consulta [Crear flujos en Amazon AppFlow en](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) la *Guía del AppFlow usuario de Amazon*.

# Controles CSPM de Security Hub para AWS App Runner
<a name="apprunner-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS App Runner servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] Los servicios de App Runner deben estar etiquetados
<a name="apprunner-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppRunner::Service`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS App Runner servicio tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el servicio de App Runner no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el servicio de App Runner no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="apprunner-1-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS App Runner servicio, consulta la referencia [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)de la *AWS App Runner API*.

## [AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
<a name="apprunner-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppRunner::VpcConnector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un conector de AWS App Runner VPC tiene etiquetas con las claves específicas definidas en el parámetro. `requiredKeyTags` El control falla si el conector de VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el conector de VPC no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="apprunner-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un conector de AWS App Runner VPC, consulte la referencia [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)de la *AWS App Runner API*.

# Controles CSPM de Security Hub para AWS AppSync
<a name="appsync-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS AppSync servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
<a name="appsync-1"></a>

**importante**  
Security Hub CSPM retiró este control el 9 de marzo de 2026. Para obtener más información, consulte. [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md) AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras.

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la caché de una AWS AppSync API está cifrada en reposo. El control falla si la caché de la API no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="appsync-1-remediation"></a>

No puedes cambiar la configuración de cifrado después de habilitar el almacenamiento en caché para tu AWS AppSync API. En su lugar, debe eliminar la caché y volver a crearla con el cifrado habilitado. Para obtener más información, consulte [Cifrado de caché](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption), en la *Guía para desarrolladores de AWS AppSync *.

## [AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
<a name="appsync-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Nivel de registro del campo  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Este control comprueba si una AWS AppSync API tiene activado el registro a nivel de campo. Se produce un error en el control si el nivel de registro del solucionador de campos está establecido en **Ninguno**. A menos que proporcione valores de parámetros personalizados para indicar que se debe habilitar un tipo de registro específico, el CSPM de Security Hub produce una conclusión válida si el nivel de registro del solucionador de campos es o`ERROR`. `ALL`

Puede utilizar el registro y las métricas para identificar, solucionar problemas y optimizar sus consultas de GraphQL. Activar el registro en AWS AppSync GraphQL te ayuda a obtener información detallada sobre las solicitudes y respuestas de la API, a identificar y responder a los problemas y a cumplir con los requisitos reglamentarios.

### Corrección
<a name="appsync-2-remediation"></a>

Para activar el registro AWS AppSync, consulta [Instalación y configuración](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) en la *Guía para AWS AppSync desarrolladores*.

## [AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado
<a name="appsync-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**AWS Config regla:** `tagged-appsync-graphqlapi` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una API de AWS AppSync GraphQL tiene etiquetas con las claves específicas definidas en el parámetro. `requiredTagKeys` El control falla si la API de GraphQL no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la API de GraphQL no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="appsync-4-remediation"></a>

Para añadir etiquetas a una API de AWS AppSync GraphQL, consulta la referencia [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)de la *AWS AppSync API*.

## [AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
<a name="appsync-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** alta

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (no personalizable)

Este control comprueba si la aplicación utiliza una clave de API para interactuar con una API de AWS AppSync GraphQL. El control falla si una API de AWS AppSync GraphQL se autentica con una clave de API.

Una clave de API es un valor codificado en tu aplicación que genera el AWS AppSync servicio al crear un punto final de GraphQL no autenticado. Si esta clave de API se ve comprometida, su punto de conexión es vulnerable a un acceso no deseado. A menos que respalde una aplicación o un sitio web de acceso público, no recomendamos usar una clave de API para la autenticación.

### Corrección
<a name="appsync-5-remediation"></a>

Para configurar una opción de autorización para tu API de AWS AppSync GraphQL, consulta [Autorización y autenticación](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) en la Guía para *AWS AppSync desarrolladores*.

## [AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
<a name="appsync-6"></a>

**importante**  
Security Hub CSPM retiró este control el 9 de marzo de 2026. Para obtener más información, consulte. [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md) AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras.

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::ApiCache`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la caché de una AWS AppSync API está cifrada en tránsito. El control falla si la caché de la API no está cifrada en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="appsync-6-remediation"></a>

No puedes cambiar la configuración de cifrado después de habilitar el almacenamiento en caché para tu AWS AppSync API. En su lugar, debe eliminar la caché y volver a crearla con el cifrado habilitado. Para obtener más información, consulte [Cifrado de caché](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption), en la *Guía para desarrolladores de AWS AppSync *.

# Controles CSPM de Security Hub para Amazon Athena
<a name="athena-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Athena. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo
<a name="athena-1"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Categoría:** Proteger - Protección de datos - Cifrado de datos en reposo

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NISt.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Gravedad:** media

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de trabajo de Athena está cifrado en reposo. El control falla si un grupo de trabajo de Athena no está cifrado en reposo.

En Athena, puede crear grupos de trabajo para ejecutar consultas para equipos, aplicaciones o diferentes cargas de trabajo. Cada grupo de trabajo tiene una configuración que permite el cifrado de todas las consultas. Tiene la opción de utilizar el cifrado del lado del servidor con las claves administradas por Amazon Simple Storage Service (Amazon S3), el cifrado del lado del servidor con claves AWS Key Management Service (AWS KMS) o el cifrado del lado del cliente con claves de KMS administradas por el cliente. Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="athena-1-remediation"></a>

Para habilitar el cifrado en reposo para los grupos de trabajo de Athena, consulte [Editar un grupo de trabajo](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) en la *Guía del usuario de Amazon Athena*. En la sección **Configuración de los resultados de la consulta**, seleccione **Cifrar los resultados de la consulta**.

## [Athena.2] Los catálogos de datos de Athena deben estar etiquetados
<a name="athena-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Athena::DataCatalog`

**AWS Config regla:** `tagged-athena-datacatalog` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el catálogo de datos de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el catálogo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el catálogo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="athena-2-remediation"></a>

Para agregar etiquetas a un catálogo de datos de Athena, consulte [Etiquetado de los recursos de Athena](https://docs.aws.amazon.com/athena/latest/ug/tags.html) en la *Guía del usuario de Amazon Athena*.

## [Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
<a name="athena-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**AWS Config regla:** `tagged-athena-workgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el grupo de trabajo de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el grupo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="athena-3-remediation"></a>

Para agregar etiquetas a un grupo de trabajo de Athena, consulte [Agregar y eliminar etiquetas en un grupo de trabajo individual](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) en la *Guía del usuario de Amazon Athena*.

## [Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
<a name="athena-4"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de trabajo de Amazon Athena tiene el registro habilitado. El control falla si el grupo de trabajo no tiene el registro habilitado.

Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarlo a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.

### Corrección
<a name="athena-4-remediation"></a>

*Para obtener información sobre cómo habilitar el registro para un grupo de trabajo de Athena, consulte [Habilitar las métricas de CloudWatch consulta en Athena en la Guía del usuario](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) de Amazon Athena.*

# Controles CSPM de Security Hub para AWS Backup
<a name="backup-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Backup servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
<a name="backup-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto AWS Backup de recuperación está cifrado en reposo. Se produce un error en el control si el punto de recuperación no está cifrado en reposo.

Un punto de AWS Backup recuperación hace referencia a una copia o instantánea específica de los datos que se crea como parte de un proceso de copia de seguridad. Representa un momento concreto en el que se hizo una copia de seguridad de los datos y sirve como punto de restauración en caso de que los datos originales se pierdan, se dañen o sean inaccesibles. El cifrado de los puntos de recuperación de la copia de seguridad agrega una capa adicional de protección contra el acceso no autorizado. El cifrado es la práctica recomendada para proteger la confidencialidad, la integridad y la seguridad de los datos de la copia de seguridad.

### Corrección
<a name="backup-1-remediation"></a>

Para cifrar un punto de AWS Backup recuperación, consulte [Cifrado de copias de seguridad AWS Backup en la Guía para AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *desarrolladores*.

## [Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
<a name="backup-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**AWS Config regla:** `tagged-backup-recoverypoint` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un punto de AWS Backup recuperación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el punto de recuperación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de recuperación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-2-remediation"></a>

**Para añadir etiquetas a un punto de recuperación AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, seleccione **Backup plans (Planes de copias de seguridad)**.

1. Seleccione un plan de copias de seguridad de la lista.

1. En la sección **Etiquetas del plan de copias de seguridad**, elija **Administrar etiquetas**.

1. Escriba la clave y el valor de para la etiqueta. Seleccione **Agregar etiqueta nueva** para agregar pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [Backup.3] las AWS Backup bóvedas deben estar etiquetadas
<a name="backup-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::BackupVault`

**AWS Config regla:** `tagged-backup-backupvault` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS Backup bóveda tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el punto de recuperación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de recuperación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-3-remediation"></a>

**Para añadir etiquetas a un almacén AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Escriba la clave y el valor de para la etiqueta. Seleccione **Agregar etiqueta nueva** para agregar pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
<a name="backup-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::ReportPlan`

**AWS Config regla:** `tagged-backup-reportplan` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un plan de AWS Backup informes tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el plan de informes no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el plan de informes no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-4-remediation"></a>

**Para añadir etiquetas a un plan de informes AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
<a name="backup-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::BackupPlan`

**AWS Config regla:** `tagged-backup-backupplan` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un plan AWS Backup de respaldo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el plan de copias de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el plan de copias de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-5-remediation"></a>

**Para añadir etiquetas a un plan de respaldo AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

# Controles CSPM de Security Hub para AWS Batch
<a name="batch-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Batch servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
<a name="batch-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::JobQueue`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una cola de AWS Batch trabajos tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la cola de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la cola de trabajo no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-1-remediation"></a>

Para agregar etiquetas a una cola de trabajos de Batch, consulte [Etiquetar los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.2] Las políticas de programación de Batch deben estar etiquetadas
<a name="batch-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::SchedulingPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una política de AWS Batch programación tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza un error si la política de programación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política de programación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-2-remediation"></a>

Para agregar etiquetas a una política de programación de Batch, consulte [Etiquetado de los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.3] Los entornos de computación de Batch deben estar etiquetados
<a name="batch-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un entorno AWS Batch informático tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el entorno de computación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el entorno de computación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-3-remediation"></a>

Para agregar etiquetas a un entorno de computación de Batch, consulte [Etiquetado de los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.
<a name="batch-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si la propiedad de recursos de computación en un entorno de computación administrado de AWS Batch tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la propiedad recursos de computación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si la propiedad de recursos de computación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. Este control no evalúa los entornos informáticos no gestionados ni los entornos gestionados que utilizan AWS Fargate recursos.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="batch-4-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a los recursos informáticos en un entorno AWS Batch informático gestionado, [consulte Etiquetar los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del AWS Batch usuario*.

# Controles CSPM de Security Hub para AWS Certificate Manager
<a name="acm-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Certificate Manager (ACM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico
<a name="acm-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), niST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Número de días en los que se debe renovar el certificado de ACM  |  Entero  |  De `14` a `365`  |  `30`  | 

Este control comprueba si un certificado AWS Certificate Manager (ACM) se renueva dentro del período de tiempo especificado. Comprueba tanto los certificados importados como los certificados que proporciona ACM. Se produce un error en el control si el certificado no se renueva en el periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de renovación, Security Hub CSPM utiliza un valor predeterminado de 30 días.

ACM puede renovar automáticamente los certificados que utilizan la validación de DNS. En el caso de los certificados que utilizan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACM no renueva automáticamente los certificados que se importan. Debe renovar los certificados importados manualmente.

### Corrección
<a name="acm-1-remediation"></a>

ACM ofrece la renovación gestionada de sus SSL/TLS certificados emitidos por Amazon. Esto significa que ACM renueva sus certificados de forma automática (si utiliza la validación por DNS) o le envía avisos por correo electrónico cuando se acerque la fecha de vencimiento. Estos servicios se prestan tanto para certificados de ACM públicos como privados.

**Para dominios validados por correo electrónico**  
Cuando un certificado expira 45 días, ACM envía al propietario del dominio un correo electrónico para cada nombre de dominio. Para validar los dominios y completar la renovación, debe responder a las notificaciones por correo electrónico.  
Para obtener más información, consulte [Renovación de dominios validados por correo electrónico](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) en la *Guía del usuario de AWS Certificate Manager *.

**Para dominios validados por DNS**  
ACM renueva automáticamente los certificados que utilizan la validación de DNS. 60 días antes del vencimiento, ACM verifica que el certificado se pueda renovar.  
Si no puede validar un nombre de dominio, ACM envía una notificación indicando que es necesaria la validación manual. Envía estas notificaciones 45 días, 30 días, 7 días y 1 día antes de la fecha de vencimiento.  
Para obtener más información, consulte [Renovación de dominios validados por DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) en la *AWS Certificate Manager Guía del usuario de *. 

## [ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits
<a name="acm-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoría:** Identificar > Inventario > Servicios de inventario

**Gravedad:** alta

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los certificados RSA gestionados AWS Certificate Manager utilizan una longitud de clave de al menos 2048 bits. El control falla si la longitud de la clave es inferior a 2048 bits.

La fuerza del cifrado se correlaciona directamente con el tamaño de la clave. Recomendamos una longitud de clave de al menos 2048 bits para proteger sus AWS recursos, ya que la potencia de cálculo se abarata y los servidores se vuelven más avanzados.

### Corrección
<a name="acm-2-remediation"></a>

La longitud mínima de clave para los certificados RSA emitidos por ACM ya es de 2048 bits. Para obtener instrucciones sobre cómo emitir nuevos certificados RSA con ACM, consulte [Emisión y administración de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la *Guía del usuario de AWS Certificate Manager *.

Si bien ACM le permite importar certificados con longitudes de clave más cortas, debe utilizar claves de al menos 2048 bits para pasar este control. No se puede cambiar la longitud de la clave después de importar un certificado. En su lugar, debe eliminar los certificados con una longitud de clave inferior a 2048 bits. Para obtener más información sobre la importación de certificados en ACM, consulte [Prerrequisitos para importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) en la *Guía del usuario de AWS Certificate Manager *.

## [ACM.3] Los certificados ACM deben estar etiquetados
<a name="acm-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACM::Certificate`

**AWS Config regla:** `tagged-acm-certificate` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un certificado AWS Certificate Manager (ACM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="acm-3-remediation"></a>

*Para añadir etiquetas a un certificado ACM, consulte [Etiquetado de AWS Certificate Manager certificados](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) en la Guía del usuario.AWS Certificate Manager *

# Controles CSPM de Security Hub para CloudFormation
<a name="cloudformation-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CloudFormation servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5)

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una notificación de Amazon Simple Notification Service está integrada con una pila de CloudFormation . Se produce un error en el control de una CloudFormation pila si no hay ninguna notificación de SNS asociada a ella.

La configuración de una notificación de SNS con su CloudFormation pila ayuda a notificar inmediatamente a las partes interesadas cualquier evento o cambio que se produzca en la pila.

### Corrección
<a name="cloudformation-1-remediation"></a>

*Para integrar una CloudFormation pila y un tema de SNS, consulte [Actualización de pilas directamente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) en la Guía del AWS CloudFormation usuario.*

## [CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
<a name="cloudformation-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**AWS Config regla:** `tagged-cloudformation-stack` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS CloudFormation pila tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si la pila no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la pila no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="cloudformation-2-remediation"></a>

Para añadir etiquetas a una CloudFormation pila, consulta la referencia [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)de la *AWS CloudFormation API*.

## [CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
<a name="cloudformation-3"></a>

**Categoría:** Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS CloudFormation pila tiene habilitada la protección de terminación. El control falla si la protección de terminación no está habilitada en una CloudFormation pila.

CloudFormation ayuda a gestionar los recursos relacionados como una sola unidad denominada pila. Es posible evitar que una pila se elimine de manera accidental; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con la protección de terminación habilitada, la eliminación fallará y la pila junto con su estado no cambiarán. Puede configurar la protección de terminación en una pila con cualquier estado excepto `DELETE_IN_PROGRESS` o `DELETE_COMPLETE`. 

**nota**  
Al habilitar o deshabilitar la protección de terminación en una pila, también se habilita o deshabilita en las pilas anidadas. No se puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. No puedes eliminar directamente una pila anidada que pertenezca a una pila que tenga habilitada la protección de terminación. Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada. 

### Corrección
<a name="cloudformation-3-remediation"></a>

Para habilitar la protección de terminación en una CloudFormation pila, consulte [Proteger las CloudFormation pilas para que no se eliminen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) en la Guía del *AWS CloudFormation usuario*.

## [CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
<a name="cloudformation-4"></a>

**Categoría:** Detectar > Gestión de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS CloudFormation pila tiene asociada una función de servicio. El control falla para una CloudFormation pila si no hay ninguna función de servicio asociada a ella.

Funciones de ejecución de StackSets uso gestionado por el servicio mediante la integración de acceso confiable de AWS Organizations. El control también genera un error al encontrar una AWS CloudFormation pila creada por un servicio gestionado StackSets porque no tiene ningún rol de servicio asociado. Debido a la forma en que los servicios gestionados se StackSets autentican, el `roleARN` campo no se puede rellenar para estas pilas.

El uso de funciones de servicio con CloudFormation pilas ayuda a implementar el acceso con privilegios mínimos al separar los permisos entre el usuario que las creates/updates acumula y los permisos que necesitan los recursos. CloudFormation create/update Esto reduce el riesgo de una escalada de privilegios y ayuda a mantener los límites de seguridad entre las distintas funciones operativas.

**nota**  
No es posible eliminar un rol de servicio asociado a una pila después de crear la pila. Otros usuarios que tengan permisos para realizar operaciones en esta pila podrán usar este rol, sin importar si esos usuarios tienen o no el permiso `iam:PassRole`. Si el rol incluye permisos que el usuario no debería tener, puede escalar involuntariamente los permisos de un usuario. Asegúrese de que el rol concede privilegios mínimos.

### Corrección
<a name="cloudformation-4-remediation"></a>

Para asociar una función de servicio a una CloudFormation pila, consulte la [función CloudFormation de servicio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) en la *Guía del AWS CloudFormation usuario*.

# Controles CSPM de Security Hub para Amazon CloudFront
<a name="cloudfront-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el CloudFront servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
<a name="cloudfront-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Categoría**: Proteger > Gestión del acceso seguro > Recursos que no son de acceso público

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con orígenes S3 está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control falla si la CloudFront distribución usa orígenes de S3 y no tiene configurado un objeto raíz predeterminado. Este control no se aplica a CloudFront las distribuciones que utilizan orígenes personalizados.

A veces, un usuario puede solicitar la URL raíz de la distribución en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.

### Corrección
<a name="cloudfront-1-remediation"></a>

Para configurar un objeto raíz predeterminado para una CloudFront distribución, consulte [Cómo especificar un objeto raíz predeterminado](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
<a name="cloudfront-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon requiere que los espectadores utilicen HTTPS directamente o si utiliza la redirección. El control falla si `ViewerProtocolPolicy` está configurado como `allow-all` para `defaultCacheBehavior` o para `cacheBehaviors`.

El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.

### Corrección
<a name="cloudfront-3-remediation"></a>

Para cifrar una CloudFront distribución en tránsito, consulte [Exigir HTTPS para la comunicación entre espectadores y CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin
<a name="cloudfront-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada con un grupo de origen que tiene dos o más orígenes.

CloudFront La conmutación por error de origen puede aumentar la disponibilidad. La conmutación por error de Origin redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.

### Corrección
<a name="cloudfront-4-remediation"></a>

Para configurar la conmutación por error de origen para una CloudFront distribución, consulta [Cómo crear un grupo de origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
<a name="cloudfront-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de acceso al servidor está habilitado en las distribuciones. CloudFront El control falla si el registro de acceso no está habilitado para una distribución. Este control solo evalúa si el registro estándar (heredado) está habilitado para una distribución.

CloudFront los registros de acceso proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Para obtener más información sobre el análisis de los registros de acceso, consulte [Consulta CloudFront los registros de Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) en la Guía del *usuario de Amazon Athena*.

### Corrección
<a name="cloudfront-5-remediation"></a>

Para configurar el registro estándar (heredado) para una CloudFront distribución, consulte [Configurar el registro estándar (heredado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.6] CloudFront las distribuciones deben tener WAF activado
<a name="cloudfront-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las CloudFront distribuciones están asociadas a la versión clásica o a la web. AWS WAF AWS WAF ACLs El control falla si la distribución no está asociada a una ACL web.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar un conjunto de reglas denominadas lista de control de acceso web (Web ACL) que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que su CloudFront distribución esté asociada a una ACL AWS WAF web para protegerla de ataques malintencionados.

### Corrección
<a name="cloudfront-6-remediation"></a>

Para asociar una ACL AWS WAF web a una CloudFront distribución, consulte [Uso AWS WAF para controlar el acceso a su contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
<a name="cloudfront-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.15

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones utilizan el SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado predeterminado.

 SSL/TLS Permita a sus usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar los certificados personalizados en AWS Certificate Manager (recomendado) o en IAM. 

### Corrección
<a name="cloudfront-7-remediation"></a>

*Para añadir un nombre de dominio alternativo a una CloudFront distribución mediante un certificado SSL/TLS personalizado, consulte [Añadir un nombre de dominio alternativo en](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) la Guía para desarrolladores de Amazon. CloudFront *

## [CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
<a name="cloudfront-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan un SSL/TLS certificado personalizado y si están configuradas para utilizar el SNI para atender las solicitudes HTTPS. Este control falla si hay asociado un SSL/TLS certificado personalizado pero el método de SSL/TLS soporte es una dirección IP dedicada.

Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si se configura CloudFront para atender las solicitudes HTTPS mediante el SNI, CloudFront asocie su nombre de dominio alternativo a una dirección IP para cada ubicación perimetral. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de tu nombre de dominio se determina durante la negociación del SSL/TLS protocolo de enlace; la dirección IP no está dedicada a tu distribución. 

### Corrección
<a name="cloudfront-8-remediation"></a>

Para configurar una CloudFront distribución que utilice el SNI para atender las solicitudes HTTPS, consulte [Uso del SNI para atender las solicitudes HTTPS (funciona para la mayoría de los clientes) en la CloudFront Guía para](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) desarrolladores. Para obtener información sobre los certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados con](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html). CloudFront

## [CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados
<a name="cloudfront-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon están cifrando el tráfico hacia orígenes personalizados. Este control falla en el caso de una CloudFront distribución cuya política de protocolo de origen permite «solo http». Este control también falla si la política de protocolo de origen de la distribución es “match-viewer”, mientras que la política de protocolo de visor es “permisible para todos”.

El protocolo HTTPS (TLS) se puede utilizar para evitar el espionaje o la manipulación del tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). 

### Corrección
<a name="cloudfront-9-remediation"></a>

Para actualizar la política de protocolo de origen para que exija el cifrado de una CloudFront conexión, consulta la [sección Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados
<a name="cloudfront-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones de CloudFront borde y sus orígenes personalizados. Este control falla si una CloudFront distribución tiene un «`CustomOriginConfig`where `OriginSslProtocols` includes». `SSLv3`

En 2015, el Internet Engineering Task Force (IETF) anunció oficialmente que el SSL 3.0 debería quedar obsoleto debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1 .2 o una versión posterior para la comunicación HTTPS con sus orígenes personalizados. 

### Corrección
<a name="cloudfront-10-remediation"></a>

Para actualizar los protocolos SSL de Origin de una CloudFront distribución, consulta la sección [Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
<a name="cloudfront-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon apuntan a orígenes de Amazon S3 inexistentes. El control de una CloudFront distribución falla si el origen está configurado para apuntar a un bucket inexistente. Este control solo se aplica a CloudFront las distribuciones en las que el origen de S3 es un bucket de S3 sin alojamiento de sitios web estáticos.

Cuando una CloudFront distribución de tu cuenta está configurada para apuntar a un depósito que no existe, un tercero malintencionado puede crear el depósito al que se hace referencia y publicar su propio contenido a través de tu distribución. Recomendamos comprobar todos los orígenes, independientemente del comportamiento de enrutamiento, para asegurarse de que sus distribuciones apuntan a los orígenes adecuados. 

### Corrección
<a name="cloudfront-12-remediation"></a>

Para modificar una CloudFront distribución para que apunte a un nuevo origen, consulta [Actualización de una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
<a name="cloudfront-13"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con origen en Amazon S3 tiene configurado el control de acceso al origen (OAC). El control falla si el OAC no está configurado para la CloudFront distribución.

Si utiliza un bucket de S3 como origen para la CloudFront distribución, puede habilitar el OAC. Esto permite el acceso al contenido del depósito únicamente a través de la CloudFront distribución especificada y prohíbe el acceso directo desde el depósito u otra distribución. Si bien CloudFront es compatible con Origin Access Identity (OAI), OAC ofrece funciones adicionales y las distribuciones que utilizan OAI pueden migrar a OAC. Si bien la OAI proporciona una forma segura de acceder a los orígenes de S3, tiene limitaciones, como la falta de compatibilidad con configuraciones de políticas detalladas y con HTTP/HTTPS solicitudes que utilizan el método POST y Regiones de AWS que requieren la AWS firma de la versión 4 (SiGv4). La OAI tampoco admite el cifrado con. AWS Key Management Service La OAC se basa en la práctica AWS recomendada de utilizar los principios del servicio de IAM para autenticarse con orígenes de S3. 

### Corrección
<a name="cloudfront-13-remediation"></a>

Para configurar el OAC para una CloudFront distribución con orígenes S3, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
<a name="cloudfront-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**AWS Config regla:** `tagged-cloudfront-distribution` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una CloudFront distribución de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la distribución no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la distribución no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="cloudfront-14-remediation"></a>

Para añadir etiquetas a una CloudFront distribución, consulta Cómo [etiquetar CloudFront distribuciones de Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) en la Guía para * CloudFront desarrolladores de Amazon*.

## [CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
<a name="cloudfront-15"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (no personalizables)

Este control comprueba si una CloudFront distribución de Amazon está configurada para usar una política de seguridad TLS recomendada. El control falla si la CloudFront distribución no está configurada para usar una política de seguridad de TLS recomendada.

Si configuras una CloudFront distribución de Amazon para que los espectadores usen HTTPS para acceder al contenido, debes elegir una política de seguridad y especificar la versión mínima del SSL/TLS protocolo que se debe usar. Esto determina qué versión del protocolo se CloudFront utiliza para comunicarse con los espectadores y los cifrados que se CloudFront utilizan para cifrar las comunicaciones. Se recomienda utilizar la política de seguridad más reciente que se CloudFront proporcione. Esto garantiza que CloudFront utilice los conjuntos de cifrado más recientes para cifrar los datos en tránsito entre un espectador y una CloudFront distribución.

**nota**  
Este control genera resultados solo para CloudFront las distribuciones que están configuradas para usar certificados SSL personalizados y no están configuradas para admitir clientes antiguos.

### Corrección
<a name="cloudfront-15-remediation"></a>

Para obtener información sobre la configuración de la política de seguridad de una CloudFront distribución, consulte [Actualizar una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*. Cuando configure la política de seguridad para una distribución, elija la política de seguridad más reciente.

## [CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda
<a name="cloudfront-16"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con una URL de AWS Lambda función como origen tiene activado el control de acceso al origen (OAC). El control falla si la CloudFront distribución tiene una URL de función Lambda como origen y la OAC no está habilitada.

 AWS Lambda La URL de una función es un punto final HTTPS dedicado para una función Lambda. Si la URL de una función Lambda es el origen de una CloudFront distribución, la URL de la función debe ser de acceso público. Por lo tanto, como práctica recomendada de seguridad, debe crear un OAC y agregarlo a la URL de función de Lambda en una distribución. La OAC utiliza los principios del servicio de IAM para autenticar las solicitudes entre CloudFront y la URL de la función. También admite el uso de políticas basadas en recursos para permitir la invocación de una función solo si la solicitud es en nombre de una distribución especificada en la política. CloudFront 

### Corrección
<a name="cloudfront-16-remediation"></a>

Para obtener información sobre cómo configurar la OAC para una CloudFront distribución de Amazon que utiliza una URL de función Lambda como origen, [consulte Restringir el acceso al origen de AWS Lambda una URL de función](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) en la Guía para desarrolladores de * CloudFront Amazon*.

## [CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs
<a name="cloudfront-17"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada para utilizar grupos de claves de confianza para la autenticación de URL o cookies firmadas. El control falla si la CloudFront distribución utiliza firmantes de confianza o si no tiene configurada la autenticación.

Para usar cookies firmadas URLs o firmadas, necesita un firmante. Un firmante es un grupo de claves de confianza en CloudFront el que se crea o una AWS cuenta que contiene un par de CloudFront claves. Te recomendamos que utilices grupos de claves de confianza, ya que con los grupos de CloudFront claves no necesitas usar el usuario raíz de la AWS cuenta para administrar las claves públicas de las cookies CloudFront firmadas URLs y firmadas.

**nota**  
Este control no evalúa las CloudFront distribuciones `(connectionMode=tenant-only)` multiusuario.

### Corrección
<a name="cloudfront-17-remediation"></a>

Para obtener información sobre el uso de grupos de claves de confianza con firmas URLs y cookies, consulte [Uso de grupos de claves de confianza](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) en la *Guía para CloudFront desarrolladores de Amazon*.

# Controles CSPM de Security Hub para AWS CloudTrail
<a name="cloudtrail-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS CloudTrail servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura
<a name="cloudtrail-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (22) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `readWriteType`: `ALL` (no personalizable)

  `includeManagementEvents`: `true` (no personalizable)

Este control comprueba si hay al menos un registro multirregional que capture los eventos de gestión de lectura y escritura. AWS CloudTrail El control falla si CloudTrail está deshabilitado o si no hay al menos un CloudTrail registro que capture los eventos de administración de lectura y escritura.

AWS CloudTrail registra las llamadas a la AWS API de tu cuenta y te entrega los archivos de registro. La información registrada incluye lo siguiente:
+ Identidad del intermediario de la API
+ Hora de la llamada a la API
+ Dirección IP de origen de la persona que llama a la API
+ Parámetros de solicitud
+ Elementos de respuesta devueltos por el Servicio de AWS

CloudTrail proporciona un historial de las llamadas a la AWS API de una cuenta, incluidas las llamadas a la API realizadas desde las herramientas de línea de comandos Consola de administración de AWS AWS SDKs,. El historial también incluye las llamadas a la API de niveles superiores Servicios de AWS , como AWS CloudFormation.

El historial de llamadas a la AWS API generado por CloudTrail permite el análisis de seguridad, el seguimiento de los cambios en los recursos y la auditoría de conformidad. Los registros de seguimiento de varias regiones también ofrecen los siguientes beneficios.
+ Un registro de seguimiento de varias regiones ayuda a detectar la actividad inesperada que ocurre en regiones que no se utilizan.
+ Un registro de seguimiento de eventos de varias regiones garantiza que el registro de servicios globales esté habilitado para un registro de seguimiento de forma predeterminada. El registro de eventos de servicios globales registra los eventos generados por los servicios AWS globales.
+ Si se trata de un registro multirregional, los eventos de administración de todas las operaciones de lectura y escritura garantizan que las operaciones de administración de CloudTrail registros se realicen en todos los recursos de una Cuenta de AWS sola vez.

De forma predeterminada, las CloudTrail rutas que se crean con ellas Consola de administración de AWS son rutas multirregionales.

### Corrección
<a name="cloudtrail-1-remediation"></a>

Para crear un nuevo sendero multirregional CloudTrail, consulte [Creación de un sendero](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la Guía del *AWS CloudTrail usuario*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Configuración adicional: validación de archivos de registro  |  Habilitado  | 
|  Elija los eventos de registro, los eventos de administración y la actividad de la API  |  **Leer** y **Escribir**. Desactive las casillas de verificación de las exclusiones.  | 

Para actualizar una ruta existente, consulte [Actualización de una ruta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) en la *Guía del usuario de AWS CloudTrail *. En **Eventos de administración**, para la **actividad de la API**, seleccione **Leer** y **Escribir**.

## [CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
<a name="cloudtrail-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS AWS Foundations Benchmark v1.2.0/2.7, CIS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NISt.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-2 NISt.800-171.r2 3.3.8, NIST.800-53.r5 SC-7 PCI AWS DSS v3.2.1/3.4, PCI DSS v3.2.1/3.4 4,0,1/10,3,2

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si CloudTrail está configurado para utilizar el cifrado del lado del servidor (SSE). AWS KMS key El control falla si no se ha definido `KmsKeyId`.

Para aumentar la seguridad de sus archivos de CloudTrail registro confidenciales, debe utilizar el cifrado del [lado del servidor con AWS KMS keys (SSE-KMS) en los archivos de CloudTrail registro para el cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) en reposo. Tenga en cuenta que, de forma predeterminada, los archivos de registro que envían CloudTrail a sus depósitos se cifran mediante el cifrado del [lado del servidor de Amazon con claves de cifrado administradas por Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html). 

### Corrección
<a name="cloudtrail-2-remediation"></a>

*Para habilitar el cifrado SSE-KMS para los archivos de registro, consulte [Actualizar un CloudTrail registro para usar una clave KMS en la Guía del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail).AWS CloudTrail *

## [CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
<a name="cloudtrail-3"></a>

**Requisitos relacionados:** NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un AWS CloudTrail sendero está habilitado en su Cuenta de AWS. El control falla si tu cuenta no tiene al menos una CloudTrail ruta habilitada.

Sin embargo, algunos AWS servicios no permiten el registro de todos APIs los eventos. Debe implementar cualquier registro de auditoría adicional que no sea CloudTrail revisar la documentación de cada servicio en [los servicios e integraciones CloudTrail compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Corrección
<a name="cloudtrail-3-remediation"></a>

Para empezar CloudTrail a crear un registro, consulte el [AWS CloudTrail tutorial Cómo empezar a usarlo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
<a name="cloudtrail-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIst.800-53.r5 SI-4, NIst.800-53.r5 SI-7 (3), NISt.800-53.r5 SI-7 (3) r5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI AWS DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2

**Categoría:** Protección de datos > Integridad de los datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la validación de la integridad del archivo de registro está habilitada en un CloudTrail registro.

CloudTrail la validación del archivo de registro crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que se CloudTrail escribe en Amazon S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se modificó, se eliminó o no se modificó después de CloudTrail entregar el registro.

Security Hub CSPM recomienda activar la validación de archivos en todas las rutas. La validación de los archivos de registro proporciona comprobaciones adicionales de integridad de CloudTrail los registros.

### Corrección
<a name="cloudtrail-4-remediation"></a>

Para habilitar la validación de los archivos de CloudTrail registro, consulte [Habilitar la validación de la integridad de los archivos de registro CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
<a name="cloudtrail-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIst.800-53.r5 SI-20, NIST.800-53.r5 AC-4 NISt.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NISt.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)), NIst.800-53.r5 SI-4 (5), NIst.800-53.r5 SI-7 (8) AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las CloudTrail rutas están configuradas para enviar registros a CloudWatch registros. El control falla si la propiedad `CloudWatchLogsLogGroupArn` de la ruta está vacía.

CloudTrail registra las llamadas a la AWS API que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:
+ Identidad de la persona que llama a la API
+ Hora de la llamada a la API
+ Dirección IP de origen de la persona que llama a la API
+ Parámetros de solicitudes
+ Los elementos de respuesta devueltos por el Servicio de AWS

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puede capturar CloudTrail los registros en un depósito de S3 específico para analizarlos a largo plazo. Para realizar un análisis en tiempo real, puede configurar CloudTrail el envío de CloudWatch registros a Logs.

En el caso de un registro que esté habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un grupo de CloudWatch registros.

Security Hub (CSPM) recomienda enviar los CloudTrail registros a CloudWatch Logs. Tenga en cuenta que esta recomendación tiene por objeto garantizar que la actividad de la cuenta se capture, supervise y se genere la alarma adecuada. Puede usar CloudWatch los registros para configurar esto con su. Servicios de AWS Esta recomendación no impide el uso de una solución diferente.

El envío de CloudTrail CloudWatch registros a Logs facilita el registro de actividades históricas y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Puede utilizar este abordaje para establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.

### Corrección
<a name="cloudtrail-5-remediation"></a>

Para integrarlo CloudTrail con CloudWatch los registros, consulte [Enviar eventos a CloudWatch los registros](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público
<a name="cloudtrail-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3, PCI DSS AWS v4.0.1/1.4.4

**Categoría:** Identificar - Registro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

CloudTrail registra un registro de todas las llamadas a la API realizadas en su cuenta. Los archivos de registro se almacenan en un bucket de S3. El CIS recomienda aplicar la política de compartimentos de S3, o lista de control de acceso (ACL), al depósito de S3 que CloudTrail registra para impedir el acceso público a los CloudTrail registros. Permitir el acceso público al contenido de los CloudTrail registros podría ayudar a un adversario a identificar puntos débiles en el uso o la configuración de la cuenta afectada.

Para ejecutar esta comprobación, Security Hub CSPM utiliza primero una lógica personalizada para buscar el depósito de S3 en el que se almacenan CloudTrail los registros. A continuación, utiliza las reglas AWS Config administradas para comprobar que el depósito es de acceso público.

Si agregas tus registros en un único depósito de S3 centralizado, Security Hub CSPM solo realizará la comprobación de la cuenta y la región en las que se encuentra el depósito de S3 centralizado. En el caso de otras cuentas y regiones, el estado de control es **Sin datos**.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

### Corrección
<a name="cloudtrail-6-remediation"></a>

Para bloquear el acceso público a su depósito de CloudTrail S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus depósitos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*. Seleccione las cuatro configuraciones de Bloqueo de acceso público de Amazon S3.

## [CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3
<a name="cloudtrail-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS 

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

El registro de acceso al bucket S3 genera un registro que contiene registros de acceso para cada solicitud realizada a su bucket S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud con los que se ha trabajado y la fecha y hora en que se procesó la solicitud.

CIS recomienda habilitar el registro de acceso al bucket en el bucket CloudTrail S3.

Al habilitar el registro del bucket de S3 en los buckets de S3 de destino, puede capturar todos los eventos que podrían afectar a los objetos en el bucket de destino. Configurar los registros para que se coloquen en un bucket independiente permite el acceso a la información de registro, lo que puede resultar útil en flujos de trabajo de respuesta a incidentes y seguridad.

Para ejecutar esta comprobación, Security Hub CSPM utiliza primero una lógica personalizada para buscar el depósito en el que se almacenan CloudTrail los registros y, a continuación, utiliza la regla AWS Config administrada para comprobar si el registro está habilitado.

Si CloudTrail entrega archivos de registro de varios depósitos de Amazon S3 Cuentas de AWS a un único bucket de destino, Security Hub CSPM evalúa este control únicamente con respecto al depósito de destino de la región en la que se encuentra. Esto optimiza sus resultados. Sin embargo, debes activar todas CloudTrail las cuentas que envían registros al depósito de destino. Para todas las cuentas, excepto la que contiene el bucket de destino, el estado de control es **Sin datos**.

### Corrección
<a name="cloudtrail-7-remediation"></a>

Para habilitar el registro de acceso al servidor para su bucket de CloudTrail S3, consulte [Habilitar el registro de acceso al servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) en la *Guía del usuario de Amazon Simple Storage Service*.

## [CloudTrail.9] las CloudTrail rutas deben estar etiquetadas
<a name="cloudtrail-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**AWS Config regla:** `tagged-cloudtrail-trail` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS CloudTrail sendero tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el registro de seguimiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de seguimiento no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="cloudtrail-9-remediation"></a>

Para añadir etiquetas a una CloudTrail ruta, consulta la referencia [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)de la *AWS CloudTrail API*.

## [CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="cloudtrail-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIst.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::EventDataStore`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un almacén de datos de eventos no está cifrado con una clave de KMS de la lista.  |  StringList (máximo de 3 elementos)  |  De 1 a 3 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Sin valor predeterminado  | 

Este control comprueba si un almacén de datos de eventos de AWS CloudTrail Lake está cifrado en reposo y gestionado AWS KMS key por un cliente. El control fallará si el almacén de datos de eventos no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

De forma predeterminada, AWS CloudTrail Lake cifra los almacenes de datos de eventos con claves administradas de Amazon S3 (SSE-S3) mediante un algoritmo AES-256. Para tener un control adicional, puede configurar CloudTrail Lake para que cifre un almacén de datos de eventos mediante un sistema gestionado por el cliente (SSE-KMS). AWS KMS key Una clave KMS gestionada por el cliente es AWS KMS key aquella que usted crea, posee y administra desde su cuenta. Cuenta de AWS Ejerce control total sobre este tipo de clave de KMS. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias, y habilitar y deshabilitar la clave. Puede usar una clave KMS administrada por el cliente en operaciones criptográficas para sus CloudTrail datos y auditar el uso con CloudTrail registros.

### Corrección
<a name="cloudtrail-10-remediation"></a>

Para obtener información sobre cómo cifrar un banco de datos de eventos de AWS CloudTrail Lake con una AWS KMS key que usted especifique, consulte [Actualizar un banco de datos de eventos en la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) Guía del *AWS CloudTrail usuario*. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

# Controles CSPM de Security Hub para Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el CloudWatch servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»
<a name="cloudwatch-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7, PCI DSS AWS v3.2.1/7.2.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este usuario raíz tiene acceso a todos los recursos y los servicios no restringidos de Cuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario raíz para las tareas diarias. Minimizar el uso del usuario raíz y adoptar el principio de privilegio mínimo para la administración del acceso reduce el riesgo de cambios accidentales y de la divulgación no intencionada de credenciales altamente privilegiadas.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para [ realizar tareas de administración de cuentas y servicios](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique las políticas AWS Identity and Access Management (de IAM) directamente a los grupos y funciones, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte [Creación del primer grupo y usuario administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía de usuario de IAM*.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-1-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas
<a name="cloudwatch-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y una alarma para llamadas a la API no autorizadas. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en el [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-2-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA
<a name="cloudwatch-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.2

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en el [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-3-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM
<a name="cloudwatch-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige los CloudTrail registros a los CloudWatch registros y establece los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-4-remediation"></a>

**nota**  
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de IAM.

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración
<a name="cloudwatch-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5, NISt.800-171.r2 3.3.8, AWS NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de CloudTrail. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-5-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación
<a name="cloudwatch-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métrica y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-6-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente
<a name="cloudwatch-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7, NISt.800-171.r2 AWS 3.13.10, NISt.800-171.r2 3.13.16, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para claves administradas por el cliente que hayan cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla si `ExcludeManagementEventSources` contiene `kms.amazonaws.com`.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-7-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3
<a name="cloudwatch-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-8-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración
<a name="cloudwatch-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9, NISt.800-171.r2 3.3.8, AWS NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de AWS Config . La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-9-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad
<a name="cloudwatch-10"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-10-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)
<a name="cloudwatch-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. NACLs se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida de las subredes de una VPC.

El CIS recomienda crear un filtro métrico y una alarma para detectar los cambios en. NACLs La supervisión de estos cambios ayuda a garantizar que AWS los recursos y servicios no queden expuestos involuntariamente. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-11-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red
<a name="cloudwatch-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12, NISt.800-171.r2 3.3.1, AWS NISt.800-171.r2 3.13.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las puertas de enlace de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-12-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas
<a name="cloudwatch-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13, NISt.800-171.r2 AWS 3.3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige los CloudTrail registros a los CloudWatch registros y establece los filtros de métricas y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-13-remediation"></a>

**nota**  
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en eventos procedentes de llamadas a la API de Amazon Elastic Compute Cloud (EC2).

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC
<a name="cloudwatch-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14, NISt.800-171.r2 AWS 3.3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Puede tener más de una VPC en una cuenta y puede crear una conexión de igual nivel entre dos VPCs, lo que permite que el tráfico de red se enrute entre ellas. VPCs

El CIS recomienda crear un filtro de métricas y una alarma para VPCs los cambios en. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-14-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
<a name="cloudwatch-15"></a>

**Requisitos relacionados:** NiSt.800-53.r5 IR-4 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NiSt.800-53.r5 IR-4 (5), NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-20, NIst.800-53.r5 SI-4 (12), NIst.800-53.r5 SI-4 (5), NIst.800-171.r2 3.3.4, NiSt.800-171R2 3,14,6

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `ALARM`.  |  Booleano  |  No personalizable  |  `true`  | 
|  `insufficientDataActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `INSUFFICIENT_DATA`.  |  Booleano  |  `true` o `false`  |  `false`  | 
|  `okActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `OK`.  |  Booleano  |  `true` o `false`  |  `false`  | 

Este control comprueba si una CloudWatch alarma de Amazon tiene al menos una acción configurada para el `ALARM` estado. Se produce un error en el control si la alarma no tiene ninguna acción configurada para el estado `ALARM`. De manera opcional, puede incluir valores personalizados de parámetros para requerir también acciones de alarma para los estados `INSUFFICIENT_DATA` o `OK`.

**nota**  
Security Hub CSPM evalúa este control en CloudWatch función de las alarmas métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen configuradas las acciones especificadas. El control arroja resultados `FAILED` en los siguientes casos:  
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene configuradas las acciones especificadas.

Este control se centra en si una CloudWatch alarma tiene configurada una acción de alarma, mientras que el parámetro [CloudWatch.17](#cloudwatch-17) se centra en el estado de activación de una acción de alarma. CloudWatch 

Recomendamos realizar acciones de CloudWatch alarma para avisarle automáticamente cuando una métrica monitorizada supere el umbral definido. Las alarmas de supervisión ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad cuando una alarma pasa a un estado específico. El tipo más común de acción de alarma es notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).

### Corrección
<a name="cloudwatch-15-remediation"></a>

Para obtener información sobre las acciones que admiten las CloudWatch alarmas, consulta [Acciones de alarma](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) en la *Guía del CloudWatch usuario de Amazon*.

## [CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico
<a name="cloudwatch-16"></a>

**Categoría:** Identificar - Registro

**Requisitos relacionados:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-12

**Gravedad:** media

**Tipo de recurso:** `AWS::Logs::LogGroup`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Periodo mínimo de retención en días para los grupos de registros CloudWatch   |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Este control comprueba si un grupo de CloudWatch registros de Amazon tiene un período de retención de al menos el número de días especificado. Se produce un error en el control si el periodo de retención es inferior a la cantidad especificada. A menos que proporciones un valor de parámetro personalizado para el período de retención, Security Hub CSPM utiliza un valor predeterminado de 365 días.

CloudWatch Los registros centralizan los registros de todos sus sistemas y aplicaciones Servicios de AWS en un único servicio altamente escalable. Puede usar CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde instancias de Amazon Elastic Compute Cloud (EC2), AWS CloudTrail Amazon Route 53 y otras fuentes. Conservar los registros durante al menos un año puede ayudarle a cumplir con los estándares de retención de registros.

### Corrección
<a name="cloudwatch-16-remediation"></a>

Para configurar los ajustes de retención de registros, consulta [Cambiar la retención de datos de registro en CloudWatch los registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) en la *Guía del CloudWatch usuario de Amazon*.

## [CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
<a name="cloudwatch-17"></a>

**Categoría:** Detectar - Servicios de detección

**Requisitos relacionados:** niST.800-53.r5 SI-2 NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-4 (12)

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las acciones de CloudWatch alarma están activadas (`ActionEnabled`debe configurarse en true). El control falla si la acción de alarma de una CloudWatch alarma está desactivada.

**nota**  
Security Hub CSPM evalúa este control en CloudWatch función de las alarmas métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen activadas las acciones de alarma. El control arroja resultados `FAILED` en los siguientes casos:  
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene activadas las acciones de alarma.

Este control se centra en el estado de activación de una acción de CloudWatch alarma, mientras que el parámetro [CloudWatch.15](#cloudwatch-15) se centra en si alguna `ALARM` acción está configurada en una alarma. CloudWatch 

Las acciones de alarma le avisan automáticamente cuando una métrica monitorizada está fuera del umbral definido. Si la acción de alarma está desactivada, no se ejecuta ninguna acción cuando la alarma cambia de estado y no se le avisará de los cambios en las métricas monitorizadas. Recomendamos activar las acciones de CloudWatch alarma para ayudarle a responder rápidamente a los problemas operativos y de seguridad.

### Corrección
<a name="cloudwatch-17-remediation"></a>

**Para activar una acción CloudWatch de alarma (consola)**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Alarmas** y, luego, **Todas las alarmas**.

1. Seleccione la alarma para la que desea activar las acciones.

1. En **Acciones**, selecciona **Acciones de alarma (nuevas)** y, a continuación, selecciona **Habilitar**.

Para obtener más información sobre la activación de las acciones de CloudWatch alarma, consulta [Acciones de alarma](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) en la *Guía del CloudWatch usuario de Amazon*.

# Controles CSPM de Security Hub para CodeArtifact
<a name="codeartifact-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CodeArtifact servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
<a name="codeartifact-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeArtifact::Repository`

**AWS Config regla:** `tagged-codeartifact-repository` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS CodeArtifact repositorio tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el repositorio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el repositorio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="codeartifact-1-remediation"></a>

Para añadir etiquetas a un CodeArtifact repositorio, consulte [Etiquetar un repositorio CodeArtifact en](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) la Guía del *AWS CodeArtifact usuario*.

# Controles CSPM de Security Hub para CodeBuild
<a name="codebuild-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CodeBuild servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales
<a name="codebuild-1"></a>

**Requisitos relacionados:** PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la URL del repositorio fuente de Bitbucket de un AWS CodeBuild proyecto contiene tokens de acceso personales o un nombre de usuario y una contraseña. El control falla si la URL del repositorio de origen de Bitbucket contiene tókenes de acceso personal o un nombre de usuario y una contraseña.

**nota**  
Este control evalúa tanto la fuente principal como las fuentes secundarias de un proyecto de CodeBuild compilación. Para obtener más información acerca de los orígenes del proyecto, consulte [Multiple input sources and output artifacts sample](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) en la *Guía del usuario de AWS CodeBuild *.

Las credenciales de inicio de sesión no deben almacenarse o transmitirse en texto sin formato ni aparecer en la URL del repositorio de origen. En lugar de utilizar fichas de acceso personales o credenciales de inicio de sesión, debes acceder a tu proveedor de fuentes y cambiar la URL del repositorio de origen para que contenga solo la ruta a la ubicación del repositorio de Bitbucket. CodeBuild El uso de tókenes de acceso personal o de credenciales de inicio de sesión podría dar lugar a la exposición involuntaria de datos o al acceso no autorizado.

### Corrección
<a name="codebuild-1-remediation"></a>

Puedes actualizar tu CodeBuild proyecto para usarlo. OAuth

**Para eliminar el token de autenticación básica/(GitHub) de acceso personal de la fuente del CodeBuild proyecto**

1. Abra la CodeBuild consola en [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Elija el proyecto de compilación que contiene tokens de acceso personales o un nombre de usuario y una contraseña.

1. En **Edit (Editar)**, elija **Source (Origen)**.

1. Selecciona **Desconectar de GitHub /Bitbucket**.

1. Selecciona **Conectar mediante OAuth** y, a continuación, selecciona **Conectar a GitHub /Bitbucket**.

1. Cuando se le solicite, elija **authorize as appropriate (autorizar según corresponda)**.

1. Vuelva a configurar la URL de repositorio y los ajustes de la configuración adicional, según sea necesario.

1. Elija **Update source (Actualizar origen)**.

Para obtener más información, consulta los [ejemplos basados en casos de CodeBuild uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) en la Guía del *AWS CodeBuild usuario*.

## [CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro
<a name="codebuild-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 IA-5 (7), PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el proyecto contiene las variables de entorno `AWS_ACCESS_KEY_ID` y `AWS_SECRET_ACCESS_KEY`.

Las credenciales de autenticación `AWS_ACCESS_KEY_ID` y `AWS_SECRET_ACCESS_KEY` no deben almacenarse nunca en texto sin cifrar, ya que esto podría conducir a una exposición no intencionada de los datos y a un acceso no autorizado.

### Corrección
<a name="codebuild-2-remediation"></a>

[https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) Asegúrese de que no haya nada seleccionado para las **Variables de entorno**.

Puede almacenar variables de entorno con valores sensibles en el almacén de AWS Systems Manager parámetros o AWS Secrets Manager , a continuación, recuperarlas de las especificaciones de compilación. Para obtener instrucciones, consulte el cuadro denominado **Importante** en la [sección Medio ambiente](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) de la *Guía del usuario de AWS CodeBuild *.

## [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
<a name="codebuild-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los registros de Amazon S3 de un AWS CodeBuild proyecto están cifrados. El control falla si se desactiva el cifrado de los registros de S3 de un CodeBuild proyecto.

El cifrado de los datos en reposo es una práctica recomendada para añadir una capa de gestión del acceso a los datos. El cifrado de los registros inactivos reduce el riesgo de que un usuario no autenticado acceda AWS a los datos almacenados en el disco. Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. 

### Corrección
<a name="codebuild-3-remediation"></a>

Para cambiar la configuración de cifrado de los registros CodeBuild del proyecto S3, consulte [Cambiar la configuración de un proyecto de compilación AWS CodeBuild en](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) la Guía del *AWS CodeBuild usuario*.

## [CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config
<a name="codebuild-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-4, NIst.800-53.r5 SI-4 (20), NISt.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el entorno de un CodeBuild proyecto tiene al menos una opción de registro, ya sea para S3 o para CloudWatch registros habilitados. Este control falla si un entorno de CodeBuild proyecto no tiene habilitada al menos una opción de registro. 

Desde una perspectiva de seguridad, el registro es una característica importante para permitir futuros esfuerzos forenses en caso de cualquier incidente de seguridad. La correlación de las anomalías en los CodeBuild proyectos con las detecciones de amenazas puede aumentar la confianza en la precisión de esas detecciones de amenazas.

### Corrección
<a name="codebuild-4-remediation"></a>

Para obtener más información sobre cómo configurar los ajustes CodeBuild del registro del proyecto, consulte [Crear un proyecto de compilación (consola) en la Guía del](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) usuario. CodeBuild 

## [CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener habilitado el modo privilegiado
<a name="codebuild-5"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2)

**Categoría:** Proteger > Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el entorno de un AWS CodeBuild proyecto tiene el modo privilegiado activado o desactivado. El control falla si el entorno de un CodeBuild proyecto tiene habilitado el modo privilegiado.

De forma predeterminada, los contenedores Docker no permiten el acceso a ningún dispositivo. El modo privilegiado otorga acceso al contenedor Docker de un proyecto de compilación a todos los dispositivos. La configuración `privilegedMode` con un valor `true` permite que el daemon de Docker se ejecute dentro de un contenedor de Docker. El daemon de Docker escucha las solicitudes de la API de Docker y administra los objetos de Docker, como imágenes, contenedores, redes y volúmenes. Este parámetro solo debe establecerse en true si el proyecto de compilación se utiliza para compilar imágenes de Docker. De lo contrario, esta configuración debe estar deshabilitada para evitar el acceso no deseado a Docker APIs y al hardware subyacente del contenedor. Esta configuración de `privilegedMode` como `false` a proteger los recursos críticos contra la manipulación y la eliminación.

### Corrección
<a name="codebuild-5-remediation"></a>

Para configurar los ajustes CodeBuild del entorno del proyecto, consulte [Crear un proyecto de compilación (consola)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) en la Guía del *CodeBuild usuario*. En la sección **Entorno**, no seleccione la configuración **Privilegiada**.

## [CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
<a name="codebuild-7"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CodeBuild::ReportGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los resultados de las pruebas de un grupo de AWS CodeBuild informes que se exportan a un bucket de Amazon Simple Storage Service (Amazon S3) están cifrados en reposo. El control falla si la exportación del grupo de informes no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="codebuild-7-remediation"></a>

Para cifrar la exportación del grupo de informes a S3, consulte [Update a report group](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) en la *Guía del usuario de AWS CodeBuild *.

# Controles CSPM de Security Hub para Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon CodeGuru Profiler.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
<a name="codeguruprofiler-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeGuruProfiler::ProfilingGroup`

**Regla de AWS Config : ** `codeguruprofiler-profiling-group-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de CodeGuru perfiles de Amazon Profiler tiene etiquetas con las claves específicas definidas en el parámetro. `requiredKeyTags` El control falla si el grupo de generación de perfiles no tiene ninguna clave de etiqueta, o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporcionan valores para el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de generación de perfiles no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="codeguruprofiler-1-remediation"></a>

Para añadir etiquetas a un grupo de creación de CodeGuru perfiles, consulte [Etiquetado de grupos de creación de perfiles en](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) la Guía del usuario de *Amazon CodeGuru * Profiler.

# Controles de CSPM de Security Hub para Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon CodeGuru Reviewer.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
<a name="codegurureviewer-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**Regla de AWS Config : ** `codegurureviewer-repository-association-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una asociación de repositorios de Amazon CodeGuru Reviewer tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la asociación de repositorio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no proporciona valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la asociación de repositorio no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="codegurureviewer-1-remediation"></a>

Para añadir etiquetas a una asociación de repositorios de CodeGuru Reviewer, consulte [Etiquetar una asociación de repositorios](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) en la *Guía del usuario de Amazon CodeGuru Reviewer*.

# Controles CSPM de Security Hub para Amazon Cognito
<a name="cognito-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Cognito. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar
<a name="cognito-1"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  El modo de aplicación obligatoria de la protección contra amenazas que el control revisa.  |  Cadena  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Este control verifica si un grupo de usuarios de Amazon Cognito tiene la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar. El control falla si el grupo de usuarios tiene la protección contra amenazas desactivada o si el modo de aplicación obligatoria no está configurado en función completa para la autenticación estándar. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza el valor predeterminado de `ENFORCED` para el modo de aplicación establecido en función completa para la autenticación estándar.

Después de crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas y personalizar las acciones que se realizan en respuesta a distintos riesgos. O puede usar el modo de auditoría para recopilar métricas sobre riesgos detectados sin aplicar ninguna mitigación de seguridad. En el modo auditoría, Threat Protection publica las métricas en Amazon CloudWatch. Puede ver las métricas después de que Amazon Cognito genere su primer evento.

### Corrección
<a name="cognito-1-remediation"></a>

Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
<a name="cognito-2"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::IdentityPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un grupo de identidades de Amazon Cognito está configurado para permitir identidades no autenticadas. El control falla si el acceso de invitado está activado (el parámetro `AllowUnauthenticatedIdentities` está configurado en `true`) para el grupo de identidades.

Si un grupo de identidades de Amazon Cognito permite identidades no autenticadas, el grupo de identidades proporciona AWS credenciales temporales a los usuarios que no se han autenticado a través de un proveedor de identidades (invitados). Esto crea riesgos de seguridad porque permite el acceso anónimo a los recursos. AWS Si desactivas el acceso como invitado, puedes garantizar que solo los usuarios debidamente autenticados puedan acceder a tus AWS recursos, lo que reduce el riesgo de acceso no autorizado y de posibles violaciones de seguridad. Como práctica recomendada, un grupo de identidades debe requerir autenticación a través de proveedores de identidades compatibles. Si el acceso no autenticado es necesario, es importante restringir cuidadosamente los permisos para las identidades no autenticadas y revisar y supervisar regularmente su uso.

### Corrección
<a name="cognito-2-remediation"></a>

Para obtener información sobre cómo desactivar el acceso de invitado para un grupo de identidades de Amazon Cognito, consulte [Activación o desactivación del acceso de invitado](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas
<a name="cognito-3"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | El número mínimo de caracteres que debe contener una contraseña.  | Entero | De `8` a `128` | `8 ` | 
|  `requireLowercase`  | Requerir al menos un carácter en minúscula en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireUppercase`  | Requerir al menos un carácter en mayúscula en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireNumbers`  | Requerir al menos un número en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireSymbols`  | Requerir al menos un símbolo en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | El número máximo de días que una contraseña puede existir antes de que expire.  | Entero | De `7` a `365` | `7`  | 

Este control verifica si la política de contraseñas de un grupo de usuarios de Amazon Cognito requiere el uso de contraseñas sólidas, basadas en configuraciones recomendadas para políticas de contraseñas. El control falla si la política de contraseñas del grupo de usuarios no exige contraseñas sólidas. Puede especificar opcionalmente valores personalizados para los ajustes de la política que el control verifica.

Las contraseñas sólidas son una práctica recomendada de seguridad para los grupos de usuarios de Amazon Cognito. Las contraseñas débiles pueden exponer las credenciales de los usuarios a sistemas que adivinan contraseñas y tratan de acceder a datos. Este es especialmente el caso de aplicaciones que están abiertas a Internet. Las políticas de contraseñas son un elemento central de la seguridad de los directorios de usuarios. Al usar una política de contraseñas, puede configurar un grupo de usuarios para exigir complejidad de contraseñas y otros ajustes que cumplan con los estándares y requisitos de seguridad.

### Corrección
<a name="cognito-3-remediation"></a>

Para obtener información sobre cómo crear o actualizar la política de contraseñas para un grupo de usuarios de Amazon Cognito, consulte [Cómo agregar requisitos de contraseña para grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada
<a name="cognito-4"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito tiene activada la protección contra amenazas con el modo de aplicación configurado en función completa para la autenticación personalizada. El control falla si el grupo de usuarios tiene deshabilitada la protección contra amenazas o si el modo de aplicación no está configurado para funcionar al máximo para la autenticación personalizada.

La protección contra amenazas, anteriormente conocida como características avanzadas de seguridad, consiste en un conjunto de herramientas de supervisión de la actividad no deseada en el grupo de usuarios y las herramientas de configuración para detener automáticamente cualquier actividad potencialmente maliciosa. Tras crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas con un modo de aplicación con todas las funciones para una autenticación personalizada y personalizar las acciones que se toman en respuesta a los diferentes riesgos. El modo con todas las funciones incluye un conjunto de reacciones automáticas para detectar actividades no deseadas y contraseñas comprometidas.

### Corrección
<a name="cognito-4-remediation"></a>

Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
<a name="cognito-5"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación multifactorial

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito configurado con una política de inicio de sesión solo con contraseña tiene habilitada la autenticación multifactor (MFA). El control falla si el grupo de usuarios configurado con una política de inicio de sesión solo con contraseña no tiene habilitada la MFA.

La autenticación multifactor (MFA) añade un factor de autenticación de algo que tienes al factor de algo que sabes (normalmente nombre de usuario y contraseña). Para los usuarios federados, Amazon Cognito delega la autenticación en el proveedor de identidad (IdP) y no ofrece factores de autenticación adicionales. Sin embargo, si tiene usuarios locales con autenticación por contraseña, la configuración de MFA para el grupo de usuarios aumenta su seguridad.

**nota**  
Este control no se aplica a los usuarios federados ni a los usuarios que inician sesión sin contraseña.

### Corrección
<a name="cognito-5-remediation"></a>

*Para obtener información sobre cómo configurar MFA para un grupo de usuarios de Amazon Cognito, consulte [Añadir MFA a un grupo de usuarios en la Guía para desarrolladores](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) de Amazon Cognito.*

## [Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones
<a name="cognito-6"></a>

**Categoría:** Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito tiene habilitada la protección contra eliminaciones. El control falla si la protección contra la eliminación está deshabilitada para el grupo de usuarios.

La protección contra la eliminación ayuda a garantizar que su grupo de usuarios no se elimine accidentalmente. Al configurar un grupo de usuarios con protección contra la eliminación, ningún usuario puede eliminarlo. La protección contra la eliminación le impide solicitar la eliminación de un grupo de usuarios a menos que primero modifique el grupo y desactive la protección contra la eliminación.

### Corrección
<a name="cognito-6-remediation"></a>

Para configurar la protección contra la eliminación de un grupo de usuarios de Amazon Cognito, consulte [Protección contra la eliminación de grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) en la Guía *para desarrolladores de Amazon Cognito*.

# Controles CSPM de Security Hub para AWS Config
<a name="config-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Config servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
<a name="config-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.r5 CM-3, NIst.800-53.r5 CM-6 (1), NISt.800-53.r5 CM-8 (2), PCI AWS DSS v3.8 2.1/10.5.2, PCI DSS v3.2.1/11.5

**Categoría:** Identificar - Inventario

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  El control no evalúa si AWS Config utiliza el rol vinculado al servicio si el parámetro está establecido en. `false`  |  Booleano  |  `true` o `false`  |  `true`  | 

Este control comprueba si AWS Config está habilitado en su cuenta en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el rol vinculado al [servicio AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). El nombre del rol vinculado al servicio es. **AWSServiceRoleForConfig** Si no usa el rol vinculado al servicio y no establece el `includeConfigServiceLinkedRoleCheck` parámetro en`false`, el control fallará porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.

El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.

El control se evalúa de la siguiente manera:
+ Si la región actual está configurada como su [región de agregación](finding-aggregation.md), el control solo produce `PASSED` resultados si se registran los recursos globales AWS Identity and Access Management (de IAM) (si ha activado los controles que los requieren).
+ Si la región actual está configurada como una región vinculada, el control no evalúa si se registran recursos globales de IAM.
+ Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en la cuenta, el control solo produce resultados `PASSED` si se registran los recursos globales de IAM (si ha habilitado los controles que los requieren).

Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan controles nuevos si se ha configurado la habilitación automática de los nuevos controles o si se cuenta con una política de configuración centralizada que habilita automáticamente los controles nuevos. En estos casos, si no registra todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para recibir un resultado `PASSED`.

Las comprobaciones de seguridad CSPM de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.

**nota**  
La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub CSPM.  
Dado que Security Hub CSPM es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.  
Para admitir los controles de seguridad en recursos globales de IAM de una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un resultado `PASSED` predeterminado por los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las regiones Regiones de AWS, le recomendamos que registre los recursos globales de IAM únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). Los recursos de IAM solo se registrarán en la región en la que esté activado el registro de recursos globales.  
Los tipos de recursos de IAM registrados a nivel mundial que AWS Config admite son los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM. Puede considerar la posibilidad de deshabilitar los controles CSPM de Security Hub que comprueban estos tipos de recursos en las regiones en las que el registro de recursos globales está desactivado. Para obtener más información, consulte [Controles sugeridos para desactivar en el CSPM de Security Hub](controls-to-disable.md).

### Corrección
<a name="config-1-remediation"></a>

En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha habilitado los controles que requieren recursos globales de IAM.

En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tiene habilitados controles que requieren el registro de recursos globales de IAM, no recibirá un resultado `FAILED` (el registro de otros recursos es suficiente).

El campo `StatusReasons` en el objeto `Compliance` del resultado puede ayudarle a determinar por qué tiene un resultado fallido para este control. Para obtener más información, consulte [Detalles de cumplimiento para los resultados de control](controls-findings-create-update.md#control-findings-asff-compliance).

Para obtener una lista de los recursos que deben registrarse para cada control, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md). Para obtener información general sobre cómo habilitar AWS Config y configurar el registro de recursos, consulte[Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

# Controles CSPM de Security Hub para Amazon Connect
<a name="connect-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Connect.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
<a name="connect-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CustomerProfiles::ObjectType`

**Regla de AWS Config : ** `customerprofiles-object-type-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un tipo de objeto de Perfiles de clientes de Amazon Connect tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el tipo de objeto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el tipo de objeto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="connect-1-remediation"></a>

Para agregar etiquetas a un tipo de objeto de Perfiles de clientes, consulte [Cómo agregar etiquetas a recursos en Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) en la *Guía del administrador de Amazon Connect*.

## [Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
<a name="connect-2"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Connect::Instance`

**Regla de AWS Config : ** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon Connect está configurada para generar y almacenar registros de flujo en un grupo de CloudWatch registros de Amazon. El control falla si la instancia de Amazon Connect no está configurada para generar y almacenar registros de flujo en un grupo de CloudWatch registros.

Los registros de flujo de Amazon Connect proporcionan detalles en tiempo real sobre eventos en los flujos de Amazon Connect. Un *flujo* define la experiencia del cliente con un centro de contacto de Amazon Connect de principio a fin. De forma predeterminada, al crear una nueva instancia de Amazon Connect, se crea automáticamente un grupo de CloudWatch registros de Amazon para almacenar los registros de flujo de la instancia. Los registros de flujo pueden ayudar a analizar flujos, encontrar errores y supervisar métricas operativas. También puede configurar alertas para eventos específicos que pueden ocurrir en un flujo.

### Corrección
<a name="connect-2-remediation"></a>

Para obtener información sobre cómo habilitar los registros de flujo para una instancia de Amazon Connect, consulte [Habilitar los registros de flujo de Amazon Connect en un grupo de CloudWatch registros](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) de *Amazon en la Guía del administrador de Amazon Connect*.

# Controles CSPM de Security Hub para Amazon Data Firehose
<a name="datafirehose-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Data Firehose.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
<a name="datafirehose-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 AC-3, NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 SC-2

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::KinesisFirehose::DeliveryStream`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno 

Este control comprueba si un flujo de entrega de Amazon Data Firehose está cifrado en reposo con el cifrado del servidor. Este control falla si un flujo de entrega de Firehose no se cifra en reposo con el cifrado del servidor.

El cifrado del lado del servidor es una función de las transmisiones de entrega de Amazon Data Firehose que cifra automáticamente los datos antes de que estén en reposo mediante una clave creada en (). AWS Key Management Service AWS KMS Los datos se cifran antes de transmitirlos a la capa de almacenamiento del flujo de Data Firehose, y se descifran después de recuperarlos del almacenamiento. Esto permite cumplir con los requisitos normativos estrictos y mejorar la seguridad de sus datos.

### Corrección
<a name="datafirehose-1-remediation"></a>

Para habilitar el cifrado del servidor en los flujos de entrega de Firehose, consulte [Protección de datos en Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) en la *Guía para desarrolladores de Amazon Data Firehose*.

# Controles CSPM de Security Hub para AWS Database Migration Service
<a name="dms-controls"></a>

Estos AWS Security Hub CSPM controles evalúan los AWS Database Migration Service (AWS DMS) y AWS DMS los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
<a name="dms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las instancias de AWS DMS replicación son públicas. Para ello, examina el valor del campo `PubliclyAccessible`.

Una instancia de replicación privada tiene una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y destino estén en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN o un emparejamiento Direct Connect de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulte las instancias de [Replicación públicas y privadas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) en la *Guía del usuario de AWS Database Migration Service *.

También debes asegurarte de que el acceso a la configuración de tu AWS DMS instancia esté limitado únicamente a los usuarios autorizados. Para ello, restrinja los permisos de IAM de los usuarios para modificar la AWS DMS configuración y los recursos.

### Corrección
<a name="dms-1-remediation"></a>

No puede cambiar la configuración de acceso público de una instancia de replicación del DMS después de crearla. Para cambiar la configuración de acceso público, [elimine la instancia actual](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) y, a continuación, [vuelva a crearla](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). No seleccione la opción de **Acceso público**.

## [DMS.2] Los certificados DMS deben estar etiquetados
<a name="dms-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::Certificate`

**AWS Config regla:** `tagged-dms-certificate` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS DMS certificado tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-2-remediation"></a>

Para agregar etiquetas a un certificado DMS, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
<a name="dms-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::EventSubscription`

**AWS Config regla:** `tagged-dms-eventsubscription` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si la suscripción a un AWS DMS evento tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la suscripción a un evento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la suscripción a un evento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-3-remediation"></a>

Para agregar etiquetas a una inscripción a un evento, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.4] Las instancias de replicación de DMS deben etiquetarse
<a name="dms-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**AWS Config regla:** `tagged-dms-replicationinstance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instancia de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la instancia de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la instancia de replicación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-4-remediation"></a>

Para agregar etiquetas a una instancia de replicación, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
<a name="dms-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config regla:** `tagged-dms-replicationsubnetgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un grupo de subredes de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el grupo de subredes de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de subredes de replicación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-5-remediation"></a>

Para agregar etiquetas a un grupo de subredes de replicación, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias
<a name="dms-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para una instancia de AWS DMS replicación. El control falla si la actualización automática de la versión secundaria no está habilitada para una instancia de replicación del DMS.

El DMS proporciona una actualización automática de las versiones secundarias a cada motor de replicación compatible para que pueda conservar su instancia up-to-date de replicación. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en las instancias de replicación del DMS, las actualizaciones menores se aplican automáticamente durante el período de mantenimiento o inmediatamente si se selecciona la opción **Aplicar los cambios inmediatamente**.

### Corrección
<a name="dms-6-remediation"></a>

Para habilitar la actualización automática de la versión secundaria en las instancias de replicación del DMS, consulte [Modificación de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro
<a name="dms-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo `LOGGER_SEVERITY_DEFAULT` para las tareas de replicación del DMS `TARGET_APPLY` y `TARGET_LOAD`. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a `LOGGER_SEVERITY_DEFAULT`.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
+ `TARGET_APPLY`: los datos e instrucciones de lenguaje de definición de datos (DDL) se aplican a la base de datos de destino.
+ `TARGET_LOAD`: Los datos se cargan en la base de datos destino.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como `DEFAULT` suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que `DEFAULT` para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como `DEFAULT` garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` o `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Corrección
<a name="dms-7-remediation"></a>

Para habilitar el registro de las tareas de replicación del DMS de la base de datos de destino, consulte [Visualización y administración de los registros de AWS DMS tareas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) en la Guía del *AWS Database Migration Service usuario*.

## [DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro
<a name="dms-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo `LOGGER_SEVERITY_DEFAULT` para las tareas de replicación del DMS `SOURCE_CAPTURE` y `SOURCE_UNLOAD`. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a `LOGGER_SEVERITY_DEFAULT`.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
+ `SOURCE_CAPTURE`: Los datos de replicación continua o captura de datos modificados (CDC) se capturan de la base de datos o el servicio de origen y se transfieren al componente de servicio de `SORTER`.
+ `SOURCE_UNLOAD`: Los datos se descargan de la base de datos o del servicio de origen durante la carga completa.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como `DEFAULT` suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que `DEFAULT` para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como `DEFAULT` garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` o `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Corrección
<a name="dms-8-remediation"></a>

Para habilitar el registro de las tareas de replicación del DMS de la base de datos fuente, consulte [Visualización y administración de los registros de AWS DMS tareas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) en la Guía del *AWS Database Migration Service usuario*.

## [DMS.9] Los puntos finales del DMS deben usar SSL
<a name="dms-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final utiliza una conexión SSL. El control falla si el punto de conexión no usa SSL.

Las conexiones SSL y TLS proporcionan una capa de seguridad al cifrar las conexiones entre las instancias de replicación de DMS y su base de datos. El uso de certificados brinda una capa extra de seguridad al validar que la conexión se realice en una base de datos esperada. Se hace al verificar que el certificado de servidor se instale automáticamente en todas las instancias de base de datos que usted aprovisiona. Al habilitar la conexión SSL en los puntos de conexión del DMS, se protege la confidencialidad de los datos durante la migración.

### Corrección
<a name="dms-9-remediation"></a>

Para añadir una conexión SSL a un punto de conexión de DMS nuevo o existente, consulte [Uso de SSL de AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM
<a name="dms-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, PCI NIST.800-53.r5 IA-2 DSS NIST.800-53.r5 IA-5 v4.0.1/7.3.1

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final de una base de datos de Amazon Neptune está configurado con autorización de IAM. El control falla si el punto de conexión de DMS no tiene habilitada la autorización de IAM.

AWS Identity and Access Management (IAM) proporciona un control de acceso detallado en todas partes. AWS Con IAM, puede especificar quién puede acceder a qué servicios y recursos y en qué condiciones. Con las políticas de IAM, puede administrar los permisos del personal y sus sistemas para garantizar los permisos con privilegio mínimo. Al habilitar la autorización de IAM en AWS DMS los puntos finales de las bases de datos de Neptune, puede conceder privilegios de autorización a los usuarios de IAM mediante un rol de servicio especificado en el parámetro. `ServiceAccessRoleARN`

### Corrección
<a name="dms-10-remediation"></a>

Para habilitar la autorización de IAM en los puntos de conexión de DMS para las bases de datos de Neptune, consulte [Uso de Amazon Neptune como destino para AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
<a name="dms-11"></a>

**Requisitos relacionados: NIST.800-53.r5 AC-3,,, PCI DSS** NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 v4.0.1/7.3.1 NIST.800-53.r5 IA-5

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final para MongoDB está configurado con un mecanismo de autenticación. El control falla si no se estableció un tipo de autenticación para el punto de conexión.

AWS Database Migration Service **admite dos métodos de autenticación para MongoDB: **MONGODB-CR para MongoDB versión 2.x** y SCRAM-SHA-1 para MongoDB versión 3.x o posterior.** Estos métodos de autenticación se utilizan para autenticar y cifrar las contraseñas de MongoDB si los usuarios desean utilizarlas para acceder a las bases de datos. La autenticación en los AWS DMS puntos finales garantiza que solo los usuarios autorizados puedan acceder a los datos que se migran entre bases de datos y modificarlos. Sin la autenticación adecuada, los usuarios no autorizados pueden acceder a datos confidenciales durante el proceso de migración. Esto puede provocar filtraciones de datos, pérdida de datos u otros incidentes de seguridad.

### Corrección
<a name="dms-11-remediation"></a>

Para habilitar un mecanismo de autenticación en los puntos de conexión de DMS para MongoDB, consulte [Uso de MongoDB como origen en AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
<a name="dms-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final para Redis OSS está configurado con una conexión TLS. El control falla si el punto de conexión no tiene habilitado el TLS.

El TLS proporciona end-to-end seguridad cuando los datos se envían entre aplicaciones o bases de datos a través de Internet. Al configurar el cifrado SSL para su punto de conexión de DMS, permite la comunicación cifrada entre las bases de datos de origen y destino durante el proceso de migración. Esto ayuda a evitar el espionaje y la interceptación de datos confidenciales por parte de actores malintencionados. Sin el cifrado SSL, se puede acceder a los datos confidenciales, lo que provoca filtraciones de datos, pérdida de datos u otros incidentes de seguridad.

### Corrección
<a name="dms-12-remediation"></a>

Para habilitar una conexión TLS en los puntos de conexión de DMS para Redis, consulte [Uso de Redis como destino para AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad
<a name="dms-13"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de replicación AWS Database Migration Service (AWS DMS) está configurada para usar varias zonas de disponibilidad (implementación Multi-AZ). El control falla si la instancia de replicación de AWS DMS no está configurada para usar una implementación Multi-AZ.

En una implementación en zonas de disponibilidad múltiples, AWS DMS aprovisiona y mantiene automáticamente una réplica en espera de una instancia de replicación en una zona de disponibilidad (AZ) diferente. La instancia de replicación principal se replica luego de manera sincronizada en la réplica en espera. Si la instancia de replicación principal falla o no responde, la instancia en espera reanuda cualquier tarea en ejecución con una interrupción mínima. Para obtener más información, consulte [Uso de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) en la *Guía del usuario de AWS Database Migration Service *.

### Corrección
<a name="dms-13-remediation"></a>

Después de crear una instancia de AWS DMS replicación, puede cambiar la configuración de implementación en zonas de disponibilidad múltiples (Multi-AZ) de la misma. Para obtener información sobre cómo cambiar esta y otras configuraciones de una instancia de replicación existente, consulte [Modificación de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) en la *Guía del usuario de AWS Database Migration Service *.

# Controles CSPM de Security Hub para AWS DataSync
<a name="datasync-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS DataSync servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync las tareas deberían tener el registro activado
<a name="datasync-1"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DataSync::Task`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS DataSync tarea tiene activado el registro. El control falla si la tarea no tiene habilitado el registro.

Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarlo a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.

### Corrección
<a name="datasync-1-remediation"></a>

Para obtener información sobre cómo configurar el registro para AWS DataSync las tareas, consulte [Supervisión de las transferencias de datos con Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) en la *Guía del AWS DataSync usuario*.

## [DataSync.2] DataSync las tareas deben estar etiquetadas
<a name="datasync-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DataSync::Task`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS DataSync tarea tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la tarea no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la tarea no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="datasync-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS DataSync tarea, consulte [Etiquetar AWS DataSync las tareas](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) en la *Guía del AWS DataSync usuario*.

# Controles CSPM de Security Hub para Amazon Detective
<a name="detective-controls"></a>

Este AWS Security Hub CSPM control evalúa el servicio y los recursos de Amazon Detective. Es posible que el control no esté disponible en todas las Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
<a name="detective-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Detective::Graph`

**AWS Config regla:** `tagged-detective-graph` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un gráfico de comportamiento de Amazon Detective tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el gráfico de comportamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el gráfico de comportamiento no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="detective-1-remediation"></a>

Para agregar etiquetas a un gráfico de comportamiento de Detective, consulte [Agregar etiquetas a un gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) en la *Guía de administración de Amazon Detective*.

# Controles de CSPM de Security Hub para Amazon DocumentDB
<a name="documentdb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon DocumentDB (compatible con MongoDB). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
<a name="documentdb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB está cifrado en reposo. El control falla si un clúster de Amazon DocumentDB no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de los clústeres de Amazon DocumentDB deben cifrarse en reposo para ofrecer un nivel de seguridad adicional. Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS).

### Corrección
<a name="documentdb-1-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de Amazon DocumentDB. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Habilitar el cifrado en reposo para un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) en la *Guía para desarrolladores de Amazon DocumentDB*.

## [DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado
<a name="documentdb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de Amazon DocumentDB tiene un periodo de retención de copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si el periodo de retención de copia de seguridad es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de los clústeres de Amazon DocumentDB, podrá restaurar los sistemas en un momento determinado y minimizar el tiempo de inactividad y la pérdida de datos. En Amazon DocumentDB, los clústeres tienen un periodo predeterminado de retención de copia de seguridad de 1 día. Debe aumentarse a un valor de entre 7 y 35 días para superar este control.

### Corrección
<a name="documentdb-2-remediation"></a>

Para cambiar el período de retención de copias de seguridad de sus clústeres de Amazon DocumentDB, consulte [Modificación de un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) en la *Guía para desarrolladores de Amazon DocumentDB*. En **Copia de seguridad**, elija el periodo de retención de copia de seguridad.

## [DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
<a name="documentdb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de clúster manual de Amazon DocumentDB es pública. El control falla si la instantánea manual del clúster es pública.

Una instantánea manual de un clúster de Amazon DocumentDB no debe ser pública a menos que se pretenda. Si comparte una instantánea manual sin cifrar públicamente, la instantánea estará disponible para todo Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.

**nota**  
Este control evalúa las instantáneas de clúster manuales. No se pueden compartir instantáneas automatizadas de un clúster de Amazon DocumentDB. Sin embargo, puede crear una instantánea manual copiando la instantánea automatizada y compartiéndola después.

### Corrección
<a name="documentdb-3-remediation"></a>

Para eliminar el acceso público a las instantáneas de clústeres manuales de Amazon DocumentDB, consulte [Compartir una instantánea](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) en la *Guía para desarrolladores de Amazon DocumentDB*. Mediante programación, puede utilizar la operación Amazon DocumentDB de `modify-db-snapshot-attribute`. Establecer `attribute-name` en `restore` y `values-to-remove` en `all`.

## [DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch
<a name="documentdb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB publica registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no publica los registros de auditoría en CloudWatch Logs.

Amazon DocumentDB (con compatibilidad con MongoDB) le permite auditar eventos que se realizaron en su clúster. Los intentos de autenticación correctos e incorrectos, la eliminación de una colección en una base de datos o la creación de un índice son algunos ejemplos de eventos registrados. De forma predeterminada, la auditoría está deshabilitada en Amazon DocumentDB y requiere que tome medidas para habilitarla.

### Corrección
<a name="documentdb-4-remediation"></a>

Para publicar los registros de auditoría de Amazon DocumentDB en Logs, consulte [Habilitar la auditoría](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) en la Guía para CloudWatch desarrolladores de *Amazon DocumentDB*.

## [DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones
<a name="documentdb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB tiene habilitada la protección contra eliminación. El control falla si el clúster no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. No se puede eliminar un clúster de Amazon DocumentDB mientras esté habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente. La protección contra eliminación se habilita de forma predeterminada cuando crea un clúster mediante la consola de Amazon DocumentDB.

### Corrección
<a name="documentdb-5-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de Amazon DocumentDB existente, consulte [Modificación de un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) en la *Guía para desarrolladores de Amazon DocumentDB*. En la sección **Modificar el clúster**, seleccione **Habilitar** la **Protección contra la eliminación**.

## [DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
<a name="documentdb-6"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros**: `excludeTlsParameters`: `disabled`, `enabled` (no personalizables)

Este control comprueba si un clúster de Amazon DocumentDB requiere TLS para las conexiones al clúster. El control falla si el grupo de parámetros del clúster asociado con el clúster no está sincronizado, o si el parámetro TLS del clúster está configurado en `disabled` o `enabled`.

Puede usar TLS para cifrar la conexión entre una aplicación y un clúster de Amazon DocumentDB. El uso de TLS puede ayudar a proteger los datos de ser interceptados mientras están en tránsito entre una aplicación y un clúster de Amazon DocumentDB. El cifrado en tránsito para un clúster de Amazon DocumentDB se administra mediante el parámetro TLS en el grupo de parámetros del clúster asociado al clúster. Cuando se habilita el cifrado en tránsito, se requieren conexiones seguras con TLS para conectarse al clúster. Recomendamos usar los siguientes parámetros TLS: `tls1.2+`, `tls1.3+` y `fips-140-3`.

### Corrección
<a name="documentdb-6-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de TLS para un clúster de Amazon DocumentDB, consulte [Cifrado de datos en tránsito](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) en la *Guía del desarrollador de Amazon DocumentDB*.

# Controles CSPM de Security Hub para DynamoDB
<a name="dynamodb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon DynamoDB. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda
<a name="dynamodb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados válidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Número mínimo de unidades de capacidad de lectura aprovisionadas para el escalado automático de DynamoDB  |  Entero  |  De `1` a `40000`  |  Sin valor predeterminado  | 
|  `targetReadUtilization`  |  Porcentaje de uso objetivo de capacidad de lectura  |  Entero  |  De `20` a `90`  |  Sin valor predeterminado  | 
|  `minProvisionedWriteCapacity`  |  Número mínimo de unidades de capacidad de escritura aprovisionadas para el escalado automático de DynamoDB  |  Entero  |  De `1` a `40000`  |  Sin valor predeterminado  | 
|  `targetWriteUtilization`  |  Porcentaje de uso objetivo de capacidad de escritura  |  Entero  |  De `20` a `90`  |  Sin valor predeterminado  | 

Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Se produce un error en el control si la tabla utiliza el modo de capacidad bajo demanda o el modo aprovisionado con el escalado automático configurado. De manera predeterminada, este control solo requiere que se configure uno de estos modos, independientemente de los niveles específicos de la capacidad de lectura o escritura. De manera opcional, puede proporcionar valores personalizados de parámetros para requerir niveles específicos de la capacidad de lectura y escritura o de utilización objetivo.

Escalar la capacidad en función de la demanda evita limitar las excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB que usan el modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de rendimiento de las tablas de DynamoDB. Para aumentar estas cuotas, puede presentar una solicitud de asistencia en. Soporte Las tablas de DynamoDB que usan el modo aprovisionado con escalado automático ajustan la capacidad de rendimiento aprovisionada de forma dinámica de acuerdo con los patrones de tráfico. Para obtener más información acerca de la limitación de solicitudes de DynamoDB, consulte [Limitación controlada de solicitudes y capacidad de ampliación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) en la *Guía para desarrolladores de Amazon DynamoDB*.

### Corrección
<a name="dynamodb-1-remediation"></a>

Para habilitar el escalado automático de DynamoDB en tablas existentes en el modo de capacidad, consulte [Habilitación de la función Auto Scaling de DynamoDB en tablas existentes](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
<a name="dynamodb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-12, niST.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la point-in-time recuperación (PITR) está habilitada para una tabla de Amazon DynamoDB.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La recuperación de point-in-time DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones de borrado o escritura accidentales. Las tablas de DynamoDB que tienen PITR habilitada se pueden restaurar a cualquier momento de los últimos 35 días.

### Corrección
<a name="dynamodb-2-remediation"></a>

Para restaurar una tabla de DynamoDB a un punto en el tiempo, consulte [Restauración de una tabla de DynamoDB a un punto en el tiempo](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
<a name="dynamodb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en reposo. El control lanza un error si un clúster de DAX no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS El cifrado añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.

### Corrección
<a name="dynamodb-3-remediation"></a>

No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un clúster de DAX con el cifrado en reposo activado, consulte [Habilitar el cifrado en reposo mediante la Consola de administración de AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
<a name="dynamodb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control determina si el parámetro está establecido en AWS Backup Vault Lock `true` y el recurso lo utiliza. `PASSED`  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si una tabla de Amazon DynamoDB en estado `ACTIVE` está cubierta por un plan de copias de seguridad. Se produce un error en el control si la tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo pasa si la tabla de DynamoDB está guardada en AWS Backup un almacén cerrado.

AWS Backup es un servicio de copias de seguridad totalmente gestionado que le ayuda a centralizar y automatizar las copias de seguridad de todos los datos. Servicios de AWS Con AWS Backupél, puede crear planes de respaldo que definan sus requisitos de respaldo, como la frecuencia con la que debe realizar copias de seguridad de sus datos y cuánto tiempo debe conservarlas. La inclusión de tablas de DynamoDB en sus planes de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.

### Corrección
<a name="dynamodb-4-remediation"></a>

*Para agregar una tabla de DynamoDB a AWS Backup un plan de respaldo, [consulte Asignación de recursos a un plan de respaldo en la Guía para](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) desarrolladores.AWS Backup *

## [DynamoDB.5] Las tablas de DynamoDB deben etiquetarse
<a name="dynamodb-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla:** `tagged-dynamodb-table` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una tabla de Amazon DynamoDB tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la tabla no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tabla no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dynamodb-5-remediation"></a>

Para agregar etiquetas a una tabla de DynamoDB, consulte [Etiquetado de recursos en DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
<a name="dynamodb-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una tabla de Amazon DynamoDB tiene habilitada la protección contra eliminación. Se produce un error en el control si una tabla DynamoDB no tiene habilitada la protección contra eliminación.

Puede proteger una tabla de DynamoDB contra la eliminación accidental con la propiedad de protección contra la eliminación. Habilitar esta propiedad para las tablas ayuda a garantizar que los administradores no eliminen las tablas accidentalmente durante las operaciones habituales de administración. De este modo, evita que se interrumpan las operaciones comerciales normales.

### Corrección
<a name="dynamodb-6-remediation"></a>

Para habilitar la protección contra eliminación de una tabla de DynamoDB, consulte [Uso de la protección contra eliminación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
<a name="dynamodb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en tránsito, con el tipo de cifrado de punto de conexión establecido en TLS. El control lanza un error si el clúster de DAX no está cifrado en tránsito.

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo debe permitir que conexiones cifradas pasen por TLS para acceder a los clústeres de DAX. Sin embargo, el cifrado de los datos en tránsito puede afectar el rendimiento. Debe probar su aplicación con cifrado para comprender el perfil de rendimiento y el impacto de TLS.

### Corrección
<a name="dynamodb-7-remediation"></a>

No se puede cambiar la configuración de cifrado de TLS después de crear un clúster de DAX. Para cifrar un clúster de DAX existente, cree un nuevo clúster con el cifrado en tránsito habilitado, traslade el tráfico de la aplicación hacia él y, a continuación, elimine el clúster anterior. Para obtener más información, consulte [Uso de la protección contra eliminación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) en la *Guía para desarrolladores de Amazon DynamoDB*.

# Controles CSPM de Security Hub para Amazon EC2
<a name="ec2-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Elastic Compute Cloud (Amazon EC2). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente
<a name="ec2-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.

Las instantáneas de EBS se utilizan para hacer una copia de seguridad de los datos de sus volúmenes de EBS en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

### Corrección
<a name="ec2-1-remediation"></a>

Para hacer privada una instantánea de EBS pública, consulte [Compartir una instantánea](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) en la *Guía del usuario de Amazon EC2*. En **Acciones, Modificar permisos**, seleccione **Privado**.

## [EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente
<a name="ec2-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16), (21), (21), (16), (21), (21), (16), (21), (21), (16), (21), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (21), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), (16), NIST.800-53.r5 SC-7 (21), (21)) AWS AWS 

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta 

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC permita el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.

Las reglas del [grupo de seguridad predeterminado](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad. Le recomendamos que no utilice el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.

### Corrección
<a name="ec2-2-remediation"></a>

Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte [Crear un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) en la *Guía del usuario de Amazon VPC*. A continuación, asigne los nuevos grupos de seguridad a sus instancias de EC2. Para conocer las instrucciones, consulte [Cambiar un grupo de seguridad de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) en la *Guía del usuario de Amazon EC2*.

Tras asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas de entrada y salida de los grupos de seguridad predeterminados. Para conocer las instrucciones, consulte [Configuración de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo
<a name="ec2-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIst.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Volume`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.

Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves CMK al crear volúmenes cifrados e instantáneas.

Para obtener más información acerca del cifrado de Amazon EBS, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-3-remediation"></a>

No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave administrada por el cliente simétrica.

Para obtener más información, consulte [Creación de un volumen de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) y [Copia de una instantánea de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
<a name="ec2-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Cantidad de días que se permite que la instancia de EC2 permanezca detenida antes de generar un resultado con errores.  |  Entero  |  De `1` a `365`  |  `30`  | 

Este control comprueba si una instancia de Amazon EC2 ha estado detenida durante más días de lo permitido. Se produce un error en el control si una instancia de EC2 se detiene durante más tiempo que el máximo permitido. A menos que proporcione un valor de parámetro personalizado para el período de tiempo máximo permitido, el CSPM de Security Hub utiliza un valor predeterminado de 30 días.

Cuando una instancia de EC2 no se ha ejecutado durante un periodo significativo, se crea un riesgo de seguridad porque la instancia no se mantiene de manera activa (se analiza, se le aplican parches o se actualiza). Si se lanza más adelante, la falta de un mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener segura una instancia de EC2 a lo largo del tiempo en un estado inactivo, iníciela de manera periódica para hacer tareas de mantenimiento y deténgala después del mantenimiento. Lo ideal es que se tratara de un proceso automatizado.

### Corrección
<a name="ec2-4-remediation"></a>

Para terminar una instancia de EC2 inactiva, consulte [Terminación de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) en la *Guía del usuario de Amazon EC2*.

## [EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs
<a name="ec2-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIst.800-53.r5 SI-7 (8), NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.3.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NISt.800-171.R2 3.13.1, PCI AWS DSS 3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `trafficType`: `REJECT` (no personalizable)

Este control comprueba si los registros de flujo de Amazon VPC se encuentran y están activados. VPCs El tipo de tráfico se ha establecido como `Reject`. El control falla si los registros de flujo de VPC no están habilitados VPCs en su cuenta.

**nota**  
Este control no comprueba si los registros de flujo de Amazon VPC están habilitados a través de Amazon Security Lake para la Cuenta de AWS.

Con la característica de VPC Flow Logs, puede utilizar los registros de flujo de la VPC para capturar información sobre el tráfico de direcciones IP entrante y saliente de las interfaces de red de su VPC. Después de crear un registro de flujo, puede ver y recuperar sus datos en los CloudWatch registros. Para reducir los costos, también puede enviar los registros de flujo a Amazon S3. 

Security Hub (CSPM) recomienda habilitar el registro de flujo para los paquetes rechazados. VPCs Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico anómalo o brindar información durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de dirección IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulte [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.

### Corrección
<a name="ec2-6-remediation"></a>

Para crear un registro de flujo de VPC, consulte [Crear un registro de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) en la *Guía del usuario de Amazon VPC.* **Tras abrir la consola de Amazon VPC, selecciona Your. VPCs** En **Filtro**, elija **Rechazar** o **Todos**.

## [EC2.7] El cifrado predeterminado de EBS debe estar activado
<a name="ec2-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada para los volúmenes de Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado para los volúmenes de EBS. 

Cuando el cifrado está activado en su cuenta, los volúmenes de Amazon EBS y las copias instantáneas se cifran en reposo. Esto agrega una capa adicional de protección para sus datos. Para obtener más información, consulte [Cifrado de forma predeterminada](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-7-remediation"></a>

Para configurar el cifrado predeterminado para los volúmenes de Amazon EBS, consulte [Cifrado predeterminado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EC2*.

## [EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2
<a name="ec2-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Seguridad de red

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la versión de metadatos de la instancia EC2 está configurada con la versión 2 () del servicio de metadatos de la instancia. IMDSv2 El control pasa si `HttpTokens` está configurado como necesario para IMDSv2. El control tiene errores si `HttpTokens` está configurado como `optional`,

Utiliza metadatos de instancia para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o programática. El IMDS se conecta localmente a todas las instancias de EC2. Se ejecuta en una dirección IP de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 del IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían utilizarse para intentar acceder al IMDS.
+ Abra firewalls de aplicaciones de sitios web
+ Abra proxies inversos
+ Vulnerabilidades de falsificación de solicitudes del servidor (SSRF)
+ Firewalls de capa 3 abiertos y traducción de direcciones de red (NAT)

Security Hub CSPM recomienda configurar las instancias EC2 con. IMDSv2

### Corrección
<a name="ec2-8-remediation"></a>

Para configurar las instancias EC2 con IMDSv2, consulte [Ruta recomendada para requerir IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) en la Guía del usuario de *Amazon EC2*.

## [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4
<a name="ec2-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias EC2 tienen una dirección IP pública. El control falla si el campo `publicIp` está presente en el elemento de configuración de instancia EC2. Este control se aplica únicamente a IPv4 las direcciones. 

Una dirección IPv4 pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza la instancia con una dirección IP pública, se puede obtener acceso a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Puede utilizar direcciones IPv4 privadas para la comunicación entre las instancias EC2 de una misma VPC o en su red privada conectada.

IPv6 las direcciones son únicas a nivel mundial y, por lo tanto, se puede acceder a ellas desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de IPv6 direccionamiento establecido en false. Para obtener más información IPv6, consulte el [direccionamiento IP en su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la Guía del usuario de Amazon *VPC*.

Si tiene un caso de uso legítimo para mantener las instancias de EC2 con direcciones IP públicas, puede ocultar los resultados de este control. Para obtener más información sobre las opciones de arquitectura de front-end, consulte el [blog de AWS arquitectura](https://aws.amazon.com/blogs/architecture/) o la [serie AWS de vídeos This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Corrección
<a name="ec2-9-remediation"></a>

Utilice una VPC no predeterminada para que no se le asigne a su instancia una dirección IP pública de forma predeterminada.

Cuando se lanza una instancia EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Al lanzar una instancia EC2 en una VPC no predeterminada, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas instancias de EC2 de la subred reciben una dirección IP pública del conjunto de direcciones públicas. IPv4 

Puede desvincular una dirección IP pública asignada de manera automática de su instancia de EC2. Para obtener más información, consulte [ IPv4 Direcciones públicas y nombres de host DNS externos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) en la Guía del usuario de *Amazon EC2*.

## [EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2
<a name="ec2-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIst.800-171.r2 3.1.3, NIst.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura > Acceso privado a la API

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** 
+ `serviceName`: `ec2` (no personalizable)

Este control comprueba si se ha creado un punto de conexión de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2. 

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub CSPM no realiza comprobaciones cruzadas entre cuentas, verá VPCs que `FAILED` los resultados se comparten entre cuentas. Security Hub CSPM recomienda que suprima estos `FAILED` hallazgos.

Para mejorar la posición de seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto de conexión de VPC de interfaz. Los puntos de enlace de la interfaz funcionan con una tecnología que le permite acceder a las operaciones de la API de Amazon EC2 de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre su VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten dentro de la misma región, no se puede crear un punto de conexión entre una VPC y un servicio de otra región. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones. 

Para obtener más información acerca de cómo crear puntos de conexión de VPC para Amazon EC2, consulte [Amazon EC2 y puntos de conexión de VPC de interfaz](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-10-remediation"></a>

Para crear un punto de conexión de interfaz para Amazon EC2 desde la consola de Amazon VPC, consulte [Crear un punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *. **En **Nombre del servicio**, elija com.amazonaws. *region*.ec2.**

También puede crear y asociar una política de punto de conexión a su punto de conexión de VPC para controlar el acceso a la API de Amazon EC2. Para obtener instrucciones sobre cómo crear una política de punto de conexión de VPC, consulte [Creación de una política de punto de conexión](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) en la *Guía del usuario de Amazon EC2*.

## [EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada
<a name="ec2-12"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NISt.800-53.r5 CM-8 (1)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::EIP`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las direcciones IP elásticas (EIP) que se asignan a una VPC están conectadas a instancias EC2 o a interfaces de red elásticas en uso (). ENIs

Si se detecta un error, es posible que el EC2 no se utilice. EIPs

Esto le ayudará a mantener un inventario preciso de los activos de su entorno EIPs de datos de titulares de tarjetas (CDE).

### Corrección
<a name="ec2-12-remediation"></a>

Para lanzar una EIP que no está en uso, consulte [Lanzamiento de una dirección IP elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) en la *Guía del usuario de Amazon EC2*.

## [EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
<a name="ec2-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS SS v4.0.1/1.3.1

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.

### Corrección
<a name="ec2-13-remediation"></a>

Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso al puerto 22.

## [EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
<a name="ec2-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**: (`restricted-rdp`la regla creada es)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.

### Corrección
<a name="ec2-14-remediation"></a>

Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte [Actualizar reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) en la *Guía del usuario de Amazon VPC*. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso al puerto 3389.

## [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
<a name="ec2-15"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Subnet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una subred de Amazon Virtual Private Cloud (Amazon VPC) está configurada para asignar automáticamente direcciones IP públicas. El control falla si la subred está configurada para asignar automáticamente direcciones públicas IPv4 o direcciones. IPv6 

Las subredes tienen atributos que determinan si las interfaces de red reciben automáticamente direcciones IPv4 y IPv6 direcciones públicas. Para IPv4, este atributo está configurado como `TRUE` para las subredes predeterminadas y `FALSE` para las subredes no predeterminadas (con la excepción de las subredes no predeterminadas creadas mediante el asistente de lanzamiento de instancias de EC2, donde está configurado en). `TRUE` Para IPv6, este atributo se establece en para todas las subredes de forma predeterminada`FALSE`. Cuando estos atributos están habilitados, las instancias lanzadas en la subred reciben automáticamente las direcciones IP (IPv4 o IPv6) correspondientes en su interfaz de red principal.

### Corrección
<a name="ec2-15-remediation"></a>

Para configurar una subred para que no asigne direcciones IP públicas, consulte [Modificación de los atributos de direccionamiento IP de la subred](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
<a name="ec2-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si hay listas de control de acceso a la red (red ACLs) no utilizadas en su nube privada virtual (VPC). El control lanza error si la ACL de la red no está asociada a una subred. El control no genera resultados para una ACL de red predeterminada que no está en uso.

El control comprueba la configuración de elementos del recurso de `AWS::EC2::NetworkAcl` y determina las relaciones de la ACL de la red.

Si la única relación es la VPC de la ACL de la red, el control lanza error.

Si se enumeran otras relaciones, el control pasa.

### Corrección
<a name="ec2-16-remediation"></a>

Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulte [Eliminar una ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) en la *Guía del usuario de Amazon VPC*. No puede eliminar la ACL de red predeterminada ni una ACL asociada a subredes.

## [EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs
<a name="ec2-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control se ejecuta si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los ENI permitidos. Este control también falla si una instancia EC2 que pertenece a un clúster de Amazon EKS utiliza más de un ENI. Si sus instancias EC2 necesitan tener varias ENIs como parte de un clúster de Amazon EKS, puede suprimir esas conclusiones de control.

Si tiene varias ENIs subredes, puede haber instancias de doble host, es decir, instancias que tienen varias subredes. Esto puede añadir complejidad a la seguridad de la red e introducir rutas y accesos a la red no deseados.

### Corrección
<a name="ec2-17-remediation"></a>

Para desvincular una interfaz de red de una instancia de EC2, consulte [Desvinculación de una interfaz de red de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) en la *Guía del usuario de Amazon EC2*.

## [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados
<a name="ec2-18"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 NIST.800-53.r5 SC-7 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Lista de puertos TCP autorizados  |  IntegerList (mínimo de 1 elemento y máximo de 32 elementos)  |  De `1` a `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Lista de puertos UDP autorizados  |  IntegerList (mínimo de 1 artículo y máximo de 32 artículos)  |  De `1` a `65535`  |  Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite el tráfico entrante sin restricciones de puertos no autorizados. El estado de control se determina de la siguiente manera:
+ Si se utiliza el valor predeterminado para `authorizedTcpPorts`, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no sea el 80 ni el 443.
+ Si proporciona valores personalizados para `authorizedTcpPorts` o `authorizedUdpPorts`, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no figure en la lista.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta las posibilidades de que se produzcan actividades maliciosas, como hackeos, denial-of-service ataques y pérdida de datos. A menos que se permita específicamente un puerto, dicho puerto debería denegar el acceso sin restricciones.

### Corrección
<a name="ec2-18-remediation"></a>

Para modificar un grupo de seguridad, consulte [Trabajo con grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
<a name="ec2-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Acceso restringido a la red

**Gravedad:** crítica

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**`vpc-sg-restricted-common-ports`: (la regla creada es)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (no personalizables)

Este control comprueba si el tráfico entrante sin restricciones de un grupo de seguridad de Amazon EC2 es accesible para los puertos especificados que se consideran de mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite la entrada de tráfico desde “0.0.0.0/0” o “::/0” a esos puertos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de que se produzcan actividades maliciosas, como la piratería informática, denial-of-service los ataques y la pérdida de datos. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ POP3(10)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (marcos de desarrollo web Go, Node.js y Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (marcos de desarrollo web Python)
+ 5432 (postgresql)
+ 500 (fcp-addr-srvr1) 
+ 5601 (OpenSearch paneles de control)
+ 8080 (proxy)
+ 8088 (puerto HTTP antiguo)
+ 8888 (puerto HTTP alternativo)
+ 9200 o 9300 () OpenSearch

### Corrección
<a name="ec2-19-remediation"></a>

Para eliminar reglas de un grupo de seguridad, consulte [Eliminación de reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) en la *Guía del usuario de Amazon EC2*.

## [EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos
<a name="ec2-20"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5), NIst.800-171.r2 3.1.13, NISt.800-171.r2 3.1.20

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::VPNConnection`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Un túnel VPN es un enlace cifrado por el que los datos pueden pasar desde la red del cliente hacia AWS o desde una conexión VPN. AWS Site-to-Site Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y su red remota.

Este control comprueba que los dos túneles VPN proporcionados por la AWS Site-to-Site VPN estén en estado ACTIVO. El control falla si uno o ambos túneles están en estado INACTIVO.

### Corrección
<a name="ec2-20-remediation"></a>

Para modificar las opciones del túnel VPN, consulte [Modificación de las opciones del túnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) en la Guía del usuario de la AWS Site-to-Site VPN.

## [EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
<a name="ec2-21"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (21), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1, PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::NetworkAcl`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una lista de control de acceso a la red (ACL de red) permite el acceso sin restricciones a los puertos TCP predeterminados para el tráfico de SSH/RDP entrada. El control lanza error si una entrada entrante de la ACL de la red permite un bloque de CIDR de origen de “0.0.0.0/0” o “::/0” para los puertos TCP 22 o 3389. El control no genera resultados para una ACL de red predeterminada.

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC.

### Corrección
<a name="ec2-21-remediation"></a>

Para editar las reglas de tráfico de ACL de la red, consulte [Trabajar con la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) en la Guía del *usuario de Amazon VPC*.

## [EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
<a name="ec2-22"></a>

**Categoría:** Identificar - Inventario

**Gravedad:** media 

**Tipo de recurso:** `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los grupos de seguridad están asociados a instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una interfaz de red elástica. El control lanza error si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una interfaz de red elástica.

**importante**  
El 20 de septiembre de 2023, Security Hub CSPM eliminó este control de las mejores prácticas de seguridad AWS fundamentales y de los estándares NIST SP 800-53 revisión 5. Este control sigue formando parte del estándar de administración de servicios. AWS Control Tower Este control genera un resultado aprobado si los grupos de seguridad están asociados a instancias de EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.

### Corrección
<a name="ec2-22-remediation"></a>

Para crear, asignar y eliminar grupos de seguridad, consulte [Grupos de seguridad para las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC
<a name="ec2-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta 

**Tipo de recurso:**`AWS::EC2::TransitGateway`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las pasarelas de tránsito de EC2 aceptan automáticamente adjuntos de VPC compartidos. Este control falla en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de adjuntos de VPC compartidas.

Al activar `AutoAcceptSharedAttachments` se configura una pasarela de tránsito para que acepte automáticamente cualquier solicitud de adjunto de VPC multicuenta sin verificar la solicitud o la cuenta desde la que se origina el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta característica para garantizar que solo se acepten las solicitudes de adjuntos de VPC autorizadas.

### Corrección
<a name="ec2-23-remediation"></a>

Para modificar una puerta de enlace de tránsito, consulte [Modificación de una puerta de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) en la Guía para desarrolladores de Amazon VPC.

## [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
<a name="ec2-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el tipo de virtualización de una instancia EC2 es paravirtual. El control falla si `virtualizationType` de la instancia EC2 está configurada como `paravirtual`.

Las Amazon Machine Images (AMIs) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre la PV y la HVM AMIs son la forma en que arrancan y si pueden aprovechar las extensiones de hardware especiales (CPU, red y almacenamiento) para obtener un mejor rendimiento.

Históricamente, en muchos casos los clientes que utilizan sistemas fotovoltaicos ofrecían un mejor rendimiento que los de HVM, pero debido a las mejoras en la virtualización de la HVM y a la disponibilidad de controladores fotovoltaicos para los sistemas HVM AMIs, esto ya no es cierto. Para obtener más información, consulte [Tipos de virtualización de la AMI de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) en la Guía del usuario de Amazon EC2.

### Corrección
<a name="ec2-24-remediation"></a>

Para actualizar una instancia de EC2 a un nuevo tipo de instancia, consulte [Cambio del tipo de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red
<a name="ec2-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta 

**Tipo de recurso:**`AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las plantillas de lanzamiento de Amazon EC2 están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de lanzamiento de EC2 está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tiene una dirección IP pública.

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deberían ser de acceso público, ya que esto podría permitir el acceso no deseado a sus cargas de trabajo.

### Corrección
<a name="ec2-25-remediation"></a>

Para actualizar una plantilla de lanzamiento de EC2, consulte [Cambiar la configuración predeterminada de la interfaz de red](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
<a name="ec2-28"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NISt.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5)

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y el recurso utiliza el Bloqueo de almacenes de AWS Backup .  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si un volumen de Amazon EBS en el estado `in-use` está cubierto por un plan de copias de seguridad. Se produce un error en el control si un volumen de Amazon EBS no está cubierto por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo se activará si el volumen de EBS está guardado en un AWS Backup almacén cerrado con llave.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La inclusión de los volúmenes de Amazon EBS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

### Corrección
<a name="ec2-28-remediation"></a>

Para añadir un volumen de Amazon EBS a un plan de AWS Backup backup, consulte [Asignación de recursos a un plan de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) en la Guía para *AWS Backup desarrolladores*.

## [EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-33"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config regla:** `tagged-ec2-transitgatewayattachment` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una conexión de puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la conexión de puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-33-remediation"></a>

Para agregar etiquetas a una conexión de puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-34"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config regla:** `tagged-ec2-transitgatewayroutetable` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una tabla de enrutamiento de una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-34-remediation"></a>

Para agregar etiquetas a una tabla de enrutamiento de una puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.35] Las interfaces de red de EC2 deben etiquetarse
<a name="ec2-35"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**AWS Config regla:** `tagged-ec2-networkinterface` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una interfaz de red de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la interfaz de red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la interfaz de red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-35-remediation"></a>

Para agregar etiquetas a una interfaz de red de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
<a name="ec2-36"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::CustomerGateway`

**AWS Config regla:** `tagged-ec2-customergateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de cliente de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de cliente no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de cliente no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-36-remediation"></a>

Para agregar etiquetas a una puerta de enlace de cliente de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse
<a name="ec2-37"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::EIP`

**AWS Config regla:** `tagged-ec2-eip` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una dirección IP elástica de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la dirección IP elástica no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la dirección IP elástica no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-37-remediation"></a>

Para agregar etiquetas a una dirección IP elástica de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.38] Las instancias de EC2 deben etiquetarse
<a name="ec2-38"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Instance`

**AWS Config regla:** `tagged-ec2-instance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instancia de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la instancia no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la instancia no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-38-remediation"></a>

Para agregar etiquetas a una instancia de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse
<a name="ec2-39"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::InternetGateway`

**AWS Config regla:** `tagged-ec2-internetgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de Internet de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de Internet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de Internet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-39-remediation"></a>

Para agregar etiquetas a una puerta de enlace de Internet de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
<a name="ec2-40"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NatGateway`

**AWS Config regla:** `tagged-ec2-natgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de traducción de direcciones de red (NAT) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de NAT no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de NAT no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-40-remediation"></a>

Para agregar etiquetas a una puerta de enlace de NAT de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.41] La red EC2 debe estar etiquetada ACLs
<a name="ec2-41"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**AWS Config regla:** `tagged-ec2-networkacl` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una lista de control de acceso de la red (ACL de la red) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la ACL de la red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la ACL de la red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-41-remediation"></a>

Para agregar etiquetas a una ACL de red de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse
<a name="ec2-42"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::RouteTable`

**AWS Config regla:** `tagged-ec2-routetable` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una tabla de enrutamiento de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la tabla de enrutamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-42-remediation"></a>

Para agregar etiquetas a una tabla de enrutamiento de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.43] Los grupos de seguridad de EC2 deben etiquetarse
<a name="ec2-43"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla:** `tagged-ec2-securitygroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el grupo de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el grupo de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-43-remediation"></a>

Para agregar etiquetas a un grupo de seguridad de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.44] Las subredes de EC2 deben etiquetarse
<a name="ec2-44"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Subnet`

**AWS Config regla:** `tagged-ec2-subnet` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una subred de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la subred no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la subred no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-44-remediation"></a>

Para agregar etiquetas a una subred de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.45] Los volúmenes de EC2 deben etiquetarse
<a name="ec2-45"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regla:** `tagged-ec2-volume` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un volumen de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el volumen no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el volumen no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-45-remediation"></a>

Para agregar etiquetas a un volumen de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.46] Amazon VPCs debe estar etiquetado
<a name="ec2-46"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPC`

**AWS Config regla:** `tagged-ec2-vpc` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una Amazon Virtual Private Cloud (Amazon VPC) tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la Amazon VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la Amazon VPC no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-46-remediation"></a>

Para agregar etiquetas a una VPC, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
<a name="ec2-47"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPCEndpointService`

**AWS Config regla:** `tagged-ec2-vpcendpointservice` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un servicio de puntos de conexión de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el servicio de punto de conexión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el servicio de punto de conexión no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-47-remediation"></a>

Para agregar etiquetas a un servicio de punto de conexión de Amazon VPC, consulte [Administración de etiquetas](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) en la sección [Configuración de un servicio de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) de la *Guía AWS PrivateLink *.

## [EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
<a name="ec2-48"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::FlowLog`

**AWS Config regla:** `tagged-ec2-flowlog` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un registro de flujo de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el registro de flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-48-remediation"></a>

Para agregar etiquetas a un registro de flujo de Amazon VPC, consulte [Etiquetado de un registro de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) en la *Guía del usuario de Amazon VPC*.

## [EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
<a name="ec2-49"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPCPeeringConnection`

**AWS Config regla:** `tagged-ec2-vpcpeeringconnection` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una conexión de emparejamiento de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la conexión de emparejamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de emparejamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-49-remediation"></a>

Para agregar etiquetas a una conexión de emparejamiento de Amazon VPC, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
<a name="ec2-50"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPNGateway`

**AWS Config regla:** `tagged-ec2-vpngateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace VPN de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace VPN no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace VPN no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-50-remediation"></a>

Para agregar etiquetas a una puerta de enlace VPN de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes
<a name="ec2-51"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.R2 3.1.12, NIst.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS Client VPN punto final tiene habilitado el registro de conexiones de clientes. Se produce un error en el control si el punto de conexión no tiene habilitado el registro de conexiones de clientes.

Los puntos de conexión de Client VPN permiten a los clientes remotos conectarse de manera segura a los recursos de una nube privada virtual (VPC) en AWS. Los registros de conexión permiten hacer un seguimiento de la actividad de los usuarios en el punto de conexión de la VPN y proporcionan visibilidad. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no se especifica ningún flujo de registros, el servicio Client VPN crea uno automáticamente.

### Corrección
<a name="ec2-51-remediation"></a>

Para habilitar el registro de conexión, consulte [Habilitación del registro de conexión en un punto de conexión de Client VPN existente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) en la *Guía del administrador de AWS Client VPN *.

## [EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-52"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGateway`

**AWS Config regla:** `tagged-ec2-transitgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-52-remediation"></a>

Para agregar etiquetas a una puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos
<a name="ec2-53"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI AWS DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versión de IP  |  Cadena  |  No personalizable  |  `IPv4`  | 
|  `restrictPorts`  |  Lista de puertos que deben rechazar el tráfico de entrada  |  IntegerList  |  No personalizable  |  `22,3389`  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de 0.0.0.0/0 a los puertos 22 o 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración de servidores remotos, como SSH al puerto 22 y RDP al puerto 3389, mediante los protocolos TDP (6), UDP (17) o ALL (-1). Si se permite el acceso público a estos puertos, crece la superficie expuesta a ataques de los recursos y el riesgo de que los recursos se vean comprometidos.

### Corrección
<a name="ec2-53-remediation"></a>

Si desea actualizar una regla de un grupo de seguridad de EC2 para prohibir el tráfico de entrada a los puertos especificados, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso a los puertos 22 o 3389.

## [EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos
<a name="ec2-54"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI DSS AWS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versión de IP  |  Cadena  |  No personalizable  |  `IPv6`  | 
|  `restrictPorts`  |  Lista de puertos que deben rechazar el tráfico de entrada  |  IntegerList  |  No personalizable  |  `22,3389`  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de ::/0 a puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de ::/0 o a los puertos 22 o 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración de servidores remotos, como SSH al puerto 22 y RDP al puerto 3389, mediante los protocolos TDP (6), UDP (17) o ALL (-1). Si se permite el acceso público a estos puertos, crece la superficie expuesta a ataques de los recursos y el riesgo de que los recursos se vean comprometidos.

### Corrección
<a name="ec2-54-remediation"></a>

Si desea actualizar una regla de un grupo de seguridad de EC2 para prohibir el tráfico de entrada a los puertos especificados, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso a los puertos 22 o 3389.

## [EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
<a name="ec2-55"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ecr.api | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de interfaz de VPC para la API de Amazon ECR. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para la API de ECR. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-55-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
<a name="ec2-56"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ecr.dkr | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para el registro de Docker. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el registro de Docker. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-56-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
<a name="ec2-57"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para AWS Systems Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-57-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager
<a name="ec2-58"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm-contacts | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para AWS Systems Manager los contactos de Incident Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para contactos del administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados de una AWS manera escalable y de alta disponibilidad, al tiempo que mantiene todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-58-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
<a name="ec2-60"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm-incidents | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para Incident Manager. AWS Systems Manager El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados de una AWS manera escalable y de alta disponibilidad, al tiempo que mantiene todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-60-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2
<a name="ec2-170"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/2.2.6

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una plantilla de lanzamiento de Amazon EC2 está configurada con la versión 2 () IMDSv2 del servicio de metadatos de instancias. El control tiene errores si `HttpTokens` está configurado como `optional`,

El uso de recursos con versiones de software compatibles garantiza un rendimiento óptimo, seguridad y acceso a las características más recientes. Las actualizaciones periódicas protegen contra las vulnerabilidades, lo que ayuda a garantizar una experiencia de usuario estable y eficaz.

### Corrección
<a name="ec2-170-remediation"></a>

Para solicitar IMDSv2 en una plantilla de lanzamiento de EC2, consulte [Configuración de las opciones del servicio de metadatos de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
<a name="ec2-171"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPNConnection`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una conexión AWS Site-to-Site VPN tiene Amazon CloudWatch Logs habilitado para ambos túneles. El control falla si una conexión Site-to-Site VPN no tiene habilitados CloudWatch los registros para ambos túneles.

AWS Site-to-Site Los registros de VPN le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexión Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD). Site-to-Site Los registros de VPN se pueden publicar en CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

### Corrección
<a name="ec2-171-remediation"></a>

Para habilitar el registro de túneles en una conexión VPN de EC2, consulte [los registros de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) en la *Guía del usuario de AWS Site-to-Site VPN*.

## [EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet
<a name="ec2-172"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config regla:** `ec2-vpc-bpa-internet-gateway-blocked` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Valor de cadena del modo de opciones de bloqueo de acceso público de la VPC.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Sin valor predeterminado  | 

Este control comprueba si los ajustes de acceso público (BPA) de la VPC de Amazon EC2 están configurados para bloquear el tráfico de las puertas de enlace de Internet para todos los Amazon del. VPCs Cuenta de AWS El control falla si la configuración de bloqueo de acceso público de la VPC no está establecida para bloquear el tráfico de puerta de enlace de Internet. Para que el control pase, la opción de `InternetGatewayBlockMode` de bloqueo de acceso público de la VPC debe estar establecida en `block-bidirectional` o `block-ingress`. Si se proporciona el parámetro `vpcBpaInternetGatewayBlockMode`, el control pasa únicamente si el valor de bloqueo de acceso público de la VPC para `InternetGatewayBlockMode` coincide con el parámetro.

Configurar los ajustes de BPA de la VPC para su cuenta en y Región de AWS le permite bloquear los recursos VPCs y las subredes de su propiedad en esa región para que no lleguen o sean accesibles desde Internet a través de puertas de enlace de Internet y puertas de enlace de Internet solo de salida. Si necesita subredes VPCs AND específicas para poder acceder o ser accesible desde Internet, puede excluirlas configurando las exclusiones de BPA de la VPC. Para obtener instrucciones sobre cómo crear y eliminar exclusiones, consulte [Creación y eliminación de exclusiones](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) en la *Guía del usuario de Amazon VPC*.

### Corrección
<a name="ec2-172-remediation"></a>

Para habilitar el bloqueo de acceso público bidireccional a nivel de la cuenta, consulte [Habilitación del modo bidireccional de BPA para la cuenta](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) en la *Guía del usuario de Amazon VPC*. Para habilitar el bloqueo de acceso público solo de entrada, consulte [Cómo cambiar el modo de bloqueo de acceso público de la VPC a solo de entrada](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only). Para habilitar el bloqueo de acceso público de la VPC a nivel de la organización, consulte [Habilitación del bloqueo de acceso público de la VPC a nivel de la organización](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs).

## [EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados
<a name="ec2-173"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::SpotFleet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una solicitud de flota de Spot de Amazon EC2 que especifica parámetros de lanzamiento está configurada para habilitar el cifrado de todos los volúmenes de Amazon Elastic Block Store (Amazon EBS) asociados a instancias de EC2. El control falla si la solicitud de flota de spot especifica parámetros de lanzamiento y no habilita el cifrado para uno o más volúmenes EBS indicados en la solicitud.

Para mayor seguridad, debe habilitar el cifrado de los volúmenes de Amazon EBS. Las operaciones de cifrado se realizan en los servidores que alojan las instancias de Amazon EC2, lo que ayuda a garantizar la seguridad tanto de los datos en reposo como de los datos en tránsito entre una instancia y el almacenamiento de EBS asociado. El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado EBS AWS KMS keys se utiliza al crear volúmenes cifrados.

**Notas**  
Este control no genera resultados para las solicitudes de flota de spot de Amazon EC2 que usan plantillas de lanzamiento. Tampoco genera resultados para las solicitudes de flota de spot que no especifican explícitamente un valor para el parámetro `encrypted`.

### Corrección
<a name="ec2-173-remediation"></a>

No existe una manera directa de cifrar un volumen de Amazon EBS existente que no esté cifrado. Solo puede cifrar un volumen nuevo cuando lo crea.

Sin embargo, si habilita el cifrado de manera predeterminada, Amazon EBS cifra los volúmenes nuevos con la clave predeterminada para el cifrado de EBS. Si no habilita el cifrado de manera predeterminada, puede habilitar el cifrado cuando crea un volumen individual. En ambos casos, puede reemplazar la clave predeterminada para el cifrado de EBS y elegir una clave de AWS KMS key administrada por el cliente. Para obtener más información sobre el cifrado de EBS, consulte el [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.

Para obtener información sobre cómo crear una solicitud de flota de spot de Amazon EC2, consulte [Creación de una flota de spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) en la *Guía del usuario de Amazon Elastic Compute Cloud*.

## [EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
<a name="ec2-174"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::DHCPOptions`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un conjunto de opciones de DHCP de Amazon EC2 tiene las claves de `requiredKeyTags` especificadas por el parámetro . El control falla si el conjunto de opciones no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el conjunto de opciones no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-174-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un conjunto de opciones de DHCP de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
<a name="ec2-175"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si una plantilla de lanzamiento de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si usted no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-175-remediation"></a>

Para obtener información sobre cómo agregar tags a una plantilla de lanzamiento de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
<a name="ec2-176"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::PrefixList`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control realiza una comprobación para verificar si una lista de prefijos de Amazon EC2 tiene las claves de etiquetas especificadas por el parámetro `requiredKeyTags`. El control falla si la lista de prefijos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si uno especifica valores para el parámetro `requiredKeyTags`, el control solo realiza una comprobación de la existencia de una clave de etiqueta y falla si la lista de prefijos no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-176-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a una lista de prefijos de Amazon EC2, consulte [Etiquetad de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
<a name="ec2-177"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorSession`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si una sesión de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la sesión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control solo realiza una comprobación de la existencia de una clave de de etiqueta y falla si la sesión no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-177-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a una sesión de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
<a name="ec2-178"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorFilter`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verificar si un filtro de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el filtro no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-178-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un filtro de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
<a name="ec2-179"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorTarget`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un destino de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si el destino no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control comprueba únicamente la existencia de una clave de etiqueta y falla si el destino no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-179-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un destino de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination
<a name="ec2-180"></a>

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la source/destination comprobación está habilitada para una interfaz de red elástica (ENI) Amazon EC2 administrada por los usuarios. El control falla si la source/destination verificación está deshabilitada para la ENI administrada por el usuario. Este control comprueba únicamente los siguientes tipos de ENIs: `aws_codestar_connections_managed``branch`,`efa`, `interface``lambda`, y`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidación de direcciones, que garantiza que una instancia sea el origen o el destino del tráfico que reciba. Esto proporciona un nivel adicional de seguridad de red al evitar que los recursos procesen tráfico no deseado y al impedir la suplantación de direcciones IP.

**nota**  
Si utiliza una instancia EC2 como instancia de NAT y ha desactivado la source/destination comprobación de su ENI, puede utilizar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) en su lugar.

### Corrección
<a name="ec2-180-remediation"></a>

Para obtener información sobre cómo habilitar las source/destination comprobaciones para una ENI de Amazon EC2, consulte [Modificar los atributos de la interfaz de red](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) en la Guía del usuario de *Amazon EC2*.

## [EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados
<a name="ec2-181"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una plantilla de lanzamiento de Amazon EC2 habilita el cifrado para todos los volúmenes de EBS asociados. El control falla si el parámetro de cifrado está establecido en `False` para cualquiera de los volúmenes de EBS especificados por la plantilla de lanzamiento de EC2.

El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de Amazon EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado de EBS usa AWS KMS keys al crear volúmenes cifrados e instantáneas. Las operaciones de cifrado se realizan en los servidores que alojan instancias de EC2, lo que ayuda a garantizar la seguridad de los datos en reposo y en tránsito entre una instancia de EC2 y su almacenamiento EBS asociado. Para obtener más información, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.

Puede habilitar el cifrado de EBS durante los lanzamientos manuales de instancias individuales de EC2. Sin embargo, existen varios beneficios al usar plantillas de lanzamiento de EC2 y configurar ajustes de cifrado en esas plantillas. Puede aplicar el cifrado como estándar y garantizar el uso de configuraciones de cifrado coherentes. También puede reducir el riesgo de errores y brechas de seguridad que podrían ocurrir con lanzamientos manuales de instancias.

**nota**  
Cuando este control verifica una plantilla de lanzamiento de EC2, solo evalúa los ajustes de cifrado de EBS que se especifican explícitamente en la plantilla. La evaluación no incluye configuraciones de cifrado heredadas del cifrado a nivel de cuenta para EBS, asignaciones de dispositivos de bloque de AMI o estados de cifrado de instantáneas de origen.

### Corrección
<a name="ec2-181-remediation"></a>

Después de crear una plantilla de lanzamiento de Amazon EC2, no puede modificarla. Sin embargo, puede crear una nueva versión de una plantilla de lanzamiento y cambiar los ajustes de cifrado en esa nueva versión de la plantilla. También puede especificar la nueva versión como la versión predeterminada de la plantilla de lanzamiento. Luego, si lanza una instancia de EC2 desde una plantilla de lanzamiento y no especifica una versión de plantilla, EC2 usa los ajustes de la versión predeterminada cuando lanza la instancia. Para obtener más información, consulte [Modificación de una plantilla de lanzamiento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
<a name="ec2-182"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SnapshotBlockPublicAccess`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

El control comprueba si la opción Bloquear el acceso público está habilitada para impedir que se compartan todas las instantáneas de Amazon EBS. El control falla si la opción Bloquear el acceso público no está habilitada para bloquear todo el uso compartido de todas las instantáneas de Amazon EBS.

Para evitar que se compartan públicamente sus instantáneas de Amazon EBS, puede habilitar el bloqueo del acceso público a las instantáneas. Una vez activado el bloqueo del acceso público a las instantáneas en una región, se bloquea automáticamente cualquier intento de compartir públicamente las instantáneas en esa región. Esto ayuda a mejorar la seguridad de las instantáneas y a proteger los datos de las instantáneas contra el acceso no autorizado o no intencionado. 

### Corrección
<a name="ec2-182-remediation"></a>

Para habilitar el acceso público bloqueado para las instantáneas, consulte [Configurar el acceso público bloqueado para las instantáneas de Amazon EBS en la Guía del usuario](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) de *Amazon EBS*. En **Bloquear el acceso público**, seleccione **Bloquear** todo el acceso público.

# Controles CSPM de Security Hub para Auto Scaling
<a name="autoscaling-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon EC2 Auto Scaling.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB
<a name="autoscaling-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, Nist.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de Amazon EC2 Auto Scaling asociado a un balanceador de cargas utiliza comprobaciones de estado de Elastic Load Balancing (ELB). El control falla si el grupo de escalado automático no utiliza comprobaciones de estado de ELB.

Las comprobaciones de estado de ELB ayudan a garantizar que el grupo de escalado automático pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el equilibrador de carga. El uso de comprobaciones de estado de Elastic Load Balancing también ayuda a respaldar la disponibilidad de las aplicaciones que utilizan grupos de EC2 Auto Scaling.

### Corrección
<a name="autoscaling-1-remediation"></a>

Para añadir comprobaciones de estado de Elastic Load Balancing, consulte [Añadir comprobaciones de estado de Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
<a name="autoscaling-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un grupo de Amazon EC2 Auto Scaling abarca al menos el número especificado de zonas de disponibilidad (AZs). El control falla si un grupo de Auto Scaling no abarca al menos el número especificado de AZs. A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

Un grupo de Auto Scaling que no abarque varias zonas no AZs puede lanzar instancias en otra zona de disponibilidad para compensar si la zona de disponibilidad única configurada deja de estar disponible. Sin embargo, en algunos casos de uso, puede preferirse un grupo de escalado automático con una sola zona de disponibilidad, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. En esos casos, puede deshabilitar este control o suprimir sus resultados. 

### Corrección
<a name="autoscaling-2-remediation"></a>

Para añadir AZs a un grupo de Auto Scaling existente, consulte [Añadir y eliminar zonas de disponibilidad](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)
<a name="autoscaling-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NISt.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si IMDSv2 está activado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del Instance Metadata Service (IMDS) no está incluida en la configuración de lanzamiento o si está configurada como`token optional`, que es una configuración que permite una IMDSv1 u IMDSv2 otra.

El IMDS brinda datos sobre una instancia que puede utilizar para configurar o administrar la instancia en ejecución.

La versión 2 del IMDS añade nuevas protecciones que no estaban disponibles IMDSv1 para proteger aún más las instancias EC2 .

### Corrección
<a name="autoscaling-3-remediation"></a>

Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como base para una nueva configuración de lanzamiento con IMDSv2 Enabled. Para obtener más información, consulta [Configurar las opciones de metadatos de instancia para nuevas instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1
<a name="autoscaling-4"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba el número de saltos de red que puede recorrer un token de metadatos. El control falla si el límite de saltos de respuesta de los metadatos es superior a `1`.

El Instance Metadata Service (IMDS) proporciona información de metadatos sobre una EC2 instancia de Amazon y es útil para la configuración de aplicaciones. Restringir la `PUT` respuesta HTTP del servicio de metadatos a solo la EC2 instancia protege al IMDS del uso no autorizado.

El campo Tiempo de vida (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje al exterior EC2. IMDSv2 protege EC2 las instancias que pueden estar mal configuradas como enrutadores abiertos, firewalls de capa 3, VPNs túneles o dispositivos NAT, lo que impide que los usuarios no autorizados recuperen los metadatos. Con IMDSv2, la `PUT` respuesta que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado está establecido en. `1` Sin embargo, si este valor es superior a`1`, el token puede salir de la EC2 instancia. 

### Corrección
<a name="autoscaling-4-remediation"></a>

Para modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulta [Modificar las opciones de metadatos de instancias para instancias existentes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas
<a name="autoscaling-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la configuración de lanzamiento asociada a un grupo de escalado automático asigna una [dirección IP pública](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) a las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.

 EC2 Las instancias de Amazon en una configuración de lanzamiento grupal de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe poder acceder a las EC2 instancias de Amazon desde detrás de un balanceador de carga, en lugar de estar expuestas directamente a Internet.

### Corrección
<a name="autoscaling-5-remediation"></a>

Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de escalado automático para utilizar la nueva configuración de lanzamiento. Para step-by-step obtener instrucciones, consulte [Cambiar la configuración de lanzamiento de un grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Al crear la nueva configuración de lanzamiento, en **Configuración adicional**, en **Detalles avanzados, tipo de dirección IP**, seleccione **No asignar una dirección IP pública a ninguna instancia**.

Después de cambiar la configuración de lanzamiento, Auto Scaling lanza nuevas instancias con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar una instancia existente, le recomendamos que actualice su instancia o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de sus políticas de terminación. Para obtener más información sobre la actualización de las instancias de Auto Scaling, consulte [Actualizar instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad
<a name="autoscaling-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancias. El control falla si el grupo de escalado automático solo tiene un tipo de instancia definido.

Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub CSPM recomienda usar varios tipos de instancias para que el grupo de Auto Scaling pueda lanzar otro tipo de instancia si la capacidad de instancias es insuficiente en las zonas de disponibilidad elegidas.

### Corrección
<a name="autoscaling-6-remediation"></a>

Para crear un grupo de Auto Scaling con varios tipos de instancias, consulte [Grupos de Auto Scaling con varios tipos de instancias y opciones de compra](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon
<a name="autoscaling-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si se ha creado un grupo de Amazon EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento. Este control falla si no se crea un grupo de Amazon EC2 Auto Scaling con una plantilla de lanzamiento o si no se especifica una plantilla de lanzamiento en una política de instancias mixtas.

Se puede crear un grupo de EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento o una configuración de lanzamiento. Sin embargo, el uso de una plantilla de lanzamiento para crear un grupo de escalado automático garantiza que tenga acceso a las funciones y mejoras más recientes.

### Corrección
<a name="autoscaling-9-remediation"></a>

Para crear un grupo de Auto Scaling con una plantilla de EC2 lanzamiento, consulte [Creación de un grupo de Auto Scaling mediante una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Para obtener información sobre cómo reemplazar una configuración de lanzamiento por una plantilla de lanzamiento, consulta [Reemplazar una configuración de lanzamiento por una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
<a name="autoscaling-10"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config regla:** `tagged-autoscaling-autoscalinggroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de Amazon EC2 Auto Scaling tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el grupo de escalado automático no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de escalado automático no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="autoscaling-10-remediation"></a>

Para añadir etiquetas a un grupo de Auto Scaling, consulte [Etiquetar grupos e instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

# Controles CSPM de Security Hub para Amazon ECR
<a name="ecr-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Registry (Amazon ECR).

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
<a name="ecr-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un repositorio privado de Amazon ECR tiene configurado el escaneo de imágenes. El control falla si el repositorio de ECR privado no está configurado para el escaneo instantáneo o continuo.

El escaneo de imágenes de ECR ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. La configuración del escaneo de imágenes en los repositorios de ECR añade un nivel de verificación de la integridad y la seguridad de las imágenes que se almacenan.

### Corrección
<a name="ecr-1-remediation"></a>

Para configurar el escaneo de imágenes para un repositorio de ECR, consulte el [Escaneo de imágenes](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
<a name="ecr-2"></a>

**Requisitos relacionados**: (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-8 (1) NIST.800-53.r5 CA-9

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un repositorio de ECR privado tiene habilitada la inmutabilidad de etiquetas. Este control falla si un repositorio de ECR privado tiene deshabilitada la inmutabilidad de etiquetas. Esta regla se aplica si la inmutabilidad de la etiqueta está habilitada y tiene el valor `IMMUTABLE`.

La inmutabilidad de las etiquetas ECR de Amazon permite a los clientes confiar en las etiquetas descriptivas de una imagen como un mecanismo fiable para rastrear e identificar las imágenes de forma única. Una etiqueta inmutable es estática, lo que significa que cada etiqueta hace referencia a una imagen única. Esto mejora la fiabilidad y la escalabilidad, ya que el uso de una etiqueta estática siempre tendrá como resultado la implementación de la misma imagen. Cuando se configura, la inmutabilidad de las etiquetas evita que se anulen, lo que reduce la superficie expuesta a ataques.

### Corrección
<a name="ecr-2-remediation"></a>

Para crear un repositorio con etiquetas inmutables configuradas o para actualizar la configuración de mutabilidad de las etiquetas de imagen de un repositorio existente, consulte la [Mutabilidad de las etiquetas](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) de imagen en la *Guía del usuario de Amazon Elastic Container registry*.

## [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
<a name="ecr-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un repositorio de Amazon ECR tiene configurada al menos una política de ciclo de vida. Este control falla si un repositorio de ECR no tiene ninguna política de ciclo de vida configurada.

Las políticas de ciclo de vida de Amazon ECR permiten especificar la administración de ciclo de vida de las imágenes de un repositorio. Al configurar las políticas del ciclo de vida, puede automatizar la limpieza de las imágenes sin utilizar y la caducidad de las imágenes en función de su antigüedad o recuento. La automatización de estas tareas puede ayudarte a evitar el uso involuntario de imágenes desactualizadas en tu repositorio.

### Corrección
<a name="ecr-3-remediation"></a>

Para configurar una política de ciclo de vida, consulte la [Vista previa sobre cómo crear una política de ciclo de vida](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.4] Los repositorios públicos de ECR deben estar etiquetados
<a name="ecr-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECR::PublicRepository`

**AWS Config regla:** `tagged-ecr-publicrepository` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un repositorio público de Amazon ECR tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el repositorio público no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el repositorio público no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecr-4-remediation"></a>

Para agregar etiquetas a un repositorio público de ECR, consulte [Tagging an Amazon ECR public repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="ecr-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NISt.800-53.r5 AU-9

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un repositorio de ECR no está cifrado con una clave de KMS incluida en la lista.  |  StringList (máximo de 10 artículos)  |  De 1 a 10 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Sin valor predeterminado  | 

Este control verifica si un repositorio de Amazon ECR está cifrado en reposo con una clave de AWS KMS key administrada por el cliente. El control falla si el repositorio de ECR no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

De manera predeterminada, Amazon ECR cifra los datos del repositorio con claves administradas por Amazon S3 (SSE-S3), con un algoritmo AES-256. Para obtener un control adicional, puede configurar Amazon ECR para que cifre los datos con un AWS KMS key (SSE-KMS o DSSE-KMS) en su lugar. La clave de KMS puede ser: una Clave administrada de AWS que Amazon ECR crea y administra en su nombre, y tiene el alias `aws/ecr`, o una clave administrada por el cliente que crea y administra en la Cuenta de AWS. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias, y habilitar y deshabilitar la clave.

**nota**  
AWS KMS admite el acceso entre cuentas a las claves de KMS. Si un repositorio de ECR está cifrado con una clave de KMS que pertenece a otra cuenta, este control no realiza comprobaciones entre cuentas cuando evalúa el repositorio. El control no evalúa si Amazon ECR puede acceder y usar la clave al realizar operaciones criptográficas para el repositorio.

### Corrección
<a name="ecr-5-remediation"></a>

No puede cambiar la configuración de cifrado de un repositorio de ECR existente. Sin embargo, puede especificar configuraciones de cifrado diferentes para los repositorios de ECR que cree posteriormente. Amazon ECR admite el uso de configuraciones de cifrado diferentes para repositorios individuales.

Para obtener más información sobre las opciones de cifrado para repositorios de ECR, consulte [Cifrado en reposo](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) en la *Guía del usuario de Amazon ECR*. Para obtener más información sobre la gestión por parte del cliente AWS KMS keys, consulte [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)la *Guía para AWS Key Management Service desarrolladores*.

# Controles CSPM de Security Hub para Amazon ECS
<a name="ecs-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Service (Amazon ECS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario
<a name="ecs-1"></a>

**importante**  
Security Hub CSPM retiró este control en marzo de 2026. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md). Puede consultar los siguientes controles para evaluar la configuración privilegiada, la configuración en modo de red y la configuración de usuario:   
 [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](#ecs-4) 
 [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](#ecs-17) 
 [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](#ecs-20) 
 [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](#ecs-21) 

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `SkipInactiveTaskDefinitions`: `true` (no personalizable)

Este control comprueba si una definición de tarea de Amazon ECS activa con el modo de red de host tiene definiciones de contenedor de `privileged` o `user`. El control falla para definiciones de tarea que tienen modo de red host y definiciones de contenedor de `privileged=false`, vacío y `user=root`, o vacío.

Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

El objetivo de este control es garantizar que el acceso se defina intencionalmente cuando se ejecutan tareas que utilizan el modo de red host. Si la definición de una tarea tiene privilegios elevados, es porque ha elegido esa configuración. Este control comprueba si hay una escalada inesperada de privilegios cuando la definición de una tarea tiene habilitada la red host y no se eligen privilegios elevados.

### Corrección
<a name="ecs-1-remediation"></a>

Para obtener información sobre cómo actualizar una definición de tarea, consulte [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

Al actualizar una definición de tarea, no se actualizan las tareas en ejecución que se iniciaron a partir de la definición de tarea anterior. Para actualizar una tarea en ejecución, debe volver a implementar la tarea con la nueva definición de tarea.

## [ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
<a name="ecs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regla:** `ecs-service-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los servicios de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. Este control tiene errores si `AssignPublicIP` figura como `ENABLED`. Este control se aprueba si `AssignPublicIP` figura como `DISABLED`.

Una dirección IP pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza sus instancias de Amazon ECS con una dirección IP pública, podrá acceder a sus instancias de Amazon ECS desde Internet. Los servicios de Amazon ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.

### Corrección
<a name="ecs-2-remediation"></a>

En primer lugar, debe crear una definición de tareas para el clúster que utilice el modo de red `awsvpc` y especifique **FARGATE** para `requiresCompatibilities`. A continuación, para la **configuración de cómputo**, elija el **Tipo de lanzamiento** y **FARGATE**. Por último, en el campo **Redes**, desactive la **IP pública** para deshabilitar la asignación automática de IP pública para su servicio.

## [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión
<a name="ecs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de tareas de Amazon ECS están configuradas para compartir el espacio de nombres de procesos de un host con sus contenedores. El control falla si la definición de la tarea comparte el espacio de nombres del proceso del host con los contenedores que se ejecutan en él. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

Un espacio de nombres de ID de proceso (PID) proporciona separación entre los procesos. Evita que los procesos del sistema sean visibles y permite PIDs su reutilización, incluido el PID 1. Si el espacio de nombres PID del host se comparte con los contenedores, los contenedores podrían ver todos los procesos del sistema anfitrión. Esto reduce la ventaja del aislamiento a nivel de proceso entre el host y los contenedores. Estas circunstancias podrían provocar el acceso no autorizado a los procesos del propio host, incluida la posibilidad de manipularlos y cancelarlos. Los clientes no deberían compartir el espacio de nombres de los procesos del anfitrión con los contenedores que se ejecuten en él.

### Corrección
<a name="ecs-3-remediation"></a>

Para configurar el `pidMode` de la definición de una tarea, consulte [Parámetros de definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) en la Guía para desarrolladores de Amazon Elastic Container Service.

## [ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
<a name="ecs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el parámetro `privileged` de la definición de contenedor de las definiciones de tareas de Amazon ECS se establece como `true`. El control falla si este parámetro es igual a `true`. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

Le recomendamos que elimine los privilegios elevados de las definiciones de tareas de ECS. Cuando el parámetro de privilegio es `true`, al contenedor se le conceden privilegios elevados en la instancia de contenedor de host (similares a los de un usuario raíz).

### Corrección
<a name="ecs-4-remediation"></a>

Para configurar el parámetro `privileged` en una definición de tarea, consulte [Parámetros de definición avanzada de contenedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) en la Guía para desarrolladores de Amazon Elastic Container Service.

## [ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz
<a name="ecs-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de tareas de ECS configuran los contenedores para que se limite al acceso de solo lectura a los sistemas de archivos raíz montados. El control falla si el `readonlyRootFilesystem` parámetro de las definiciones de contenedor de la definición de tareas de ECS está establecido en`false`, o si el parámetro no existe en la definición de contenedor dentro de la definición de tarea. Este control evalúa únicamente la última revisión activa de una definición de tarea de Amazon ECS.

Si el parámetro `readonlyRootFilesystem` está establecido en `true` en una definición de tarea de Amazon ECS, al contenedor de ECS se le concede acceso de solo lectura al sistema de archivos raíz. Esto reduce los vectores de ataque de seguridad, porque el sistema de archivos raíz de la instancia del contenedor no puede ser modificado ni escrito sin montajes de volúmenes explícitos que tengan permisos de lectura y escritura para carpetas y directorios del sistema de archivos. Habilitar esta opción también contribuye a aplicar el principio de privilegio mínimo.

**nota**  
El `readonlyRootFilesystem` parámetro no es compatible con los contenedores de Windows. Las definiciones de tareas `runtimePlatform` configuradas para especificar una familia de `WINDOWS_SERVER` sistemas operativos se marcan como `NOT_APPLICABLE` y no generarán resultados para este control. 

### Corrección
<a name="ecs-5-remediation"></a>

Para otorgar a un contenedor de Amazon ECS acceso de solo lectura a su sistema de archivos raíz, agregue el parámetro `readonlyRootFilesystem` a la definición de la tarea para el contenedor y establezca el valor del parámetro en `true`. Para obtener información sobre los parámetros de definición de tareas y cómo agregarlos a una definición de tarea, consulte [Definiciones de tareas de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) y [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
<a name="ecs-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2

**Categoría:** Proteger > Desarrollo seguro > Credenciales no codificadas

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** `secretKeys`: `AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`,`ECS_ENGINE_AUTH_DATA` (no personalizable) 

Este control comprueba si el valor clave de alguna variable del parámetro `environment` de las definiciones de contenedores incluye `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control falla si una sola variable de entorno en cualquier definición de contenedor es igual a `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control no cubre las variables de entorno que se transmiten desde otras ubicaciones, como Amazon S3. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

AWS Systems Manager Parameter Store puede ayudarlo a mejorar la postura de seguridad de su organización. Le recomendamos que utilice el almacén de parámetros para almacenar los secretos y las credenciales en lugar de pasarlos directamente a las instancias contenedoras o codificarlos en el código.

### Corrección
<a name="ecs-8-remediation"></a>

Para crear parámetros mediante SSM, consulte [Creación de parámetros de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) en la *Guía del usuario de AWS Systems Manager *. Para obtener más información sobre cómo crear una definición de tarea que especifique un secreto, consulte [Especificar datos confidenciales mediante Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
<a name="ecs-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regla ecs-task-definition-log**[:](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html) -configuración

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última definición de tarea activa de Amazon ECS tiene una configuración de registro especificada. El control falla si la definición de la tarea no tiene la propiedad definida `logConfiguration` o si el valor `logDriver` es null en al menos una definición de contenedor.

El registro le ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de Amazon ECS. La recopilación de datos de las definiciones de tareas proporciona visibilidad, lo que puede ayudarle a depurar los procesos y encontrar la causa raíz de los errores. Si utiliza una solución de registro que no tiene que estar definida en la definición de tareas de ECS (como una solución de registro de terceros), puede deshabilitar este control después de asegurarse de que los registros se capturan y entregan correctamente.

### Corrección
<a name="ecs-9-remediation"></a>

Para definir una configuración de registro para las definiciones de tareas de Amazon ECS, consulte [Especificar una configuración de registro en la definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) de la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate
<a name="ecs-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::Service`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `latestLinuxVersion: 1.4.0` (no personalizable)
+ `latestWindowsVersion: 1.0.0` (no personalizable)

Este control comprueba si los servicios Fargate de Amazon ECS ejecutan la versión más reciente de la versión de la plataforma Fargate. Este control falla si la versión de la plataforma no es la más reciente.

AWS Fargate las versiones de plataforma se refieren a un entorno de ejecución específico para la infraestructura de tareas de Fargate, que es una combinación de versiones de ejecución de kernel y contenedor. Se lanzan nuevas versiones de la plataforma a medida que evoluciona el tiempo de ejecución. Por ejemplo, se puede lanzar una nueva versión de kernel o del sistema operativo, características nuevas, correcciones de errores o actualizaciones de seguridad. Las actualizaciones y los parches de seguridad se implementan automáticamente para las tareas de Fargate. Si se detecta un problema de seguridad que afecte a una versión de la plataforma, corrija AWS la versión de la plataforma. 

### Corrección
<a name="ecs-10-remediation"></a>

Para actualizar un servicio existente, incluida su versión de la plataforma, consulte [Actualización de un servicio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.12] Los clústeres de ECS deben usar Container Insights
<a name="ecs-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los clústeres de ECS utilizan Container Insights. Este control falla si Container Insights no está configurado para un clúster.

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los clústeres de Amazon ECS. Utilice CloudWatch Container Insights para recopilar, agregar y resumir las métricas y los registros de sus aplicaciones y microservicios contenerizados. CloudWatch recopila automáticamente las métricas de muchos recursos, como la CPU, la memoria, el disco y la red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarlo a aislar problemas y solucionarlos rápidamente. También puedes configurar CloudWatch alarmas en las métricas que recopila Container Insights.

### Corrección
<a name="ecs-12-remediation"></a>

Para usar Container Insights, consulta [Actualización de un servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) en la *Guía del CloudWatch usuario de Amazon*.

## [ECS.13] Los servicios de ECS deben estar etiquetados
<a name="ecs-13"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regla:** `tagged-ecs-service` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un servicio de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el servicio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el servicio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-13-remediation"></a>

Para agregar etiquetas a un servicio de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.14] Los clústeres de ECS deben etiquetarse
<a name="ecs-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::Cluster`

**AWS Config regla:** `tagged-ecs-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-14-remediation"></a>

Para agregar etiquetas a un clúster de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.15] Las definiciones de tareas de ECS deben etiquetarse
<a name="ecs-15"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regla:** `tagged-ecs-taskdefinition` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una definición de tarea de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la definición de la tarea no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la definición de la tarea no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-15-remediation"></a>

Para agregar etiquetas a una definición de tarea de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
<a name="ecs-16"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskSet`

**AWS Config regla:** `ecs-taskset-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los conjuntos de tareas de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. El control tiene errores si `AssignPublicIP` está configurado como `ENABLED`,

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura el conjunto de tareas con una dirección IP pública, se puede acceder a los recursos asociados al conjunto de tareas desde Internet. Los conjuntos de tareas de ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.

### Corrección
<a name="ecs-16-remediation"></a>

Para actualizar un conjunto de tareas de ECS para que no utilice una dirección IP pública, consulte [Actualización de una definición de tareas de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
<a name="ecs-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la última revisión activa de una definición de tarea de Amazon ECS utiliza el modo de red de `host`. El control falla si la última revisión activa de la definición de tarea de ECS usa el modo de red de `host`.

Cuando se usa el modo de red de `host`, la red de un contenedor de Amazon ECS está vinculada directamente al host subyacente que ejecuta el contenedor. Como consecuencia, este modo permite que los contenedores se conecten a los servicios de red de retrobucle privados del host y que puedan hacerse pasar por el propio host. Otros inconvenientes importantes son que no existe ninguna forma de reasignar un puerto del contenedor cuando se utiliza el modo de red `host`, y que no puede ejecutar más de una sola instanciación de una tarea en cada host.

### Corrección
<a name="ecs-17-remediation"></a>

Para obtener información sobre los modos y las opciones de red para tareas de Amazon ECS que se alojan en instancias de Amazon EC2, consulte [Opciones de redes de tareas de Amazon ECS para el tipo de lanzamiento de EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) en la *Guía del desarrollador de Amazon Elastic Container Service*. Para obtener información sobre cómo crear una nueva revisión de una definición de tarea y especificar un modo de red diferente, consulte [Actualización de una definición de tarea de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en esa guía.

Si la definición de tarea de Amazon ECS la creó AWS Batch, consulte [Modos de red para AWS Batch trabajos para](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) obtener información sobre los modos de red y el uso típico de los tipos de AWS Batch trabajo y para elegir una opción segura.

## [ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS
<a name="ecs-18"></a>

**Categoría: Proteger > Cifrado** de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS utiliza el cifrado en tránsito para los volúmenes de EFS. El control falla si la última revisión activa de la definición de tarea de ECS tiene deshabilitado el cifrado en tránsito para los volúmenes de EFS.

Los volúmenes de Amazon EFS proporcionan un almacenamiento de archivos compartido simple, escalable y persistente para usarlo en sus tareas de Amazon ECS. Amazon EFS admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS). Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de EFS, Amazon EFS establece una conexión TLS segura con su sistema de archivos de EFS al montarlo.

### Corrección
<a name="ecs-18-remediation"></a>

Para obtener información sobre cómo habilitar el cifrado en tránsito para la definición de tareas de Amazon ECS con volúmenes de EFS, consulte el [paso 5: Crear una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada
<a name="ecs-19"></a>

**Categoría:** Proteger > Protección de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::CapacityProvider`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un proveedor de capacidad de Amazon ECS ha activado la protección de terminación gestionada. El control falla si la protección de terminación administrada no está habilitada en un proveedor de capacidad de ECS.

Los proveedores de capacidad de Amazon ECS administran el escalado de la infraestructura para las tareas de los clústeres. Cuando utiliza instancias de Amazon EC2 para su capacidad, utiliza grupos de escalado automático para administrar las instancias de Amazon EC2. La protección contra la terminación administrada permite que el escalado automático de clústeres controle qué instancias se terminan. Cuando utiliza la protección contra la terminación administrada, Amazon ECS solo termina las instancias de EC2 que no tienen ninguna tarea de Amazon ECS en ejecución.

**nota**  
Cuando se utiliza la protección de terminación administrada, también se debe usar el escalado administrado, porque, de lo contrario, la protección de terminación administrada no funciona.

### Corrección
<a name="ecs-19-remediation"></a>

Para habilitar la protección de terminación administrada para un proveedor de capacidad de Amazon ECS, consulte [Actualización de la protección de terminación administrada para los proveedores de capacidad de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux
<a name="ecs-20"></a>

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Linux para que se ejecuten como usuarios no root. El control falla si hay configurado un usuario root predeterminado o si no hay ninguna configuración de usuario para algún contenedor.

Cuando los contenedores de Linux se ejecutan con privilegios de root, presentan varios riesgos de seguridad importantes. Los usuarios root tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente. Si un contenedor que funciona como root se ve comprometido, los atacantes podrían aprovecharlo para acceder a los recursos del sistema anfitrión o modificarlos, lo que afectaría a otros contenedores o al propio host. Además, el acceso root podría permitir ataques de escalada de privilegios, lo que permitiría a los atacantes obtener permisos adicionales más allá del alcance previsto para el contenedor. El parámetro de usuario de las definiciones de tareas de ECS puede especificar los usuarios en varios formatos, como el nombre de usuario, el ID de usuario, el nombre de usuario con grupo o el UID con ID de grupo. Es importante tener en cuenta estos diversos formatos al configurar las definiciones de tareas para garantizar que no se conceda ningún acceso root por error. Siguiendo el principio de privilegios mínimos, los contenedores deben ejecutarse con los permisos mínimos requeridos y deben ser utilizados por usuarios que no sean root. Este enfoque reduce considerablemente la superficie de ataque potencial y mitiga el impacto de posibles brechas de seguridad. 

**nota**  
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `LINUX` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna de las definiciones de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como usuario root predeterminado. Los usuarios raíz predeterminados de los `LINUX` contenedores son `"root"` y`"0"`.

### Corrección
<a name="ecs-20-remediation"></a>

Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows
<a name="ecs-21"></a>

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Windows para que se ejecuten como usuarios que no son administradores predeterminados. El control falla si un administrador predeterminado está configurado como usuario o si no hay ninguna configuración de usuario en ningún contenedor.

Cuando los contenedores de Windows se ejecutan con privilegios de administrador, presentan varios riesgos de seguridad importantes. Los administradores tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente.

**nota**  
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `WINDOWS_SERVER` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna definición de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como administrador predeterminado para `WINDOWS_SERVER` los contenedores, es `"containeradministrator"` decir.

### Corrección
<a name="ecs-21-remediation"></a>

Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.

# Controles CSPM de Security Hub para Amazon EFS
<a name="efs-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic File System (Amazon EFS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS
<a name="efs-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo mediante AWS KMS. La comprobación falla en los siguientes casos.
+ `Encrypted` se establece en `false` en la respuesta de [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La clave `KmsKeyId` de la respuesta de [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) no coincide con el parámetro `KmsKeyId` de [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Tenga en cuenta que este control no utiliza el parámetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Solo comprueba el valor de `Encrypted`.

Para añadir un nivel de seguridad a sus datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo cuando cree un sistema de archivos de Amazon EFS. Para obtener más información acerca del cifrado de Amazon EFS, consulte [Cifrado de datos en Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) en la *Guía del usuario de Amazon Elastic File System*.

### Corrección
<a name="efs-1-remediation"></a>

Para obtener información detallada sobre cómo cifrar un nuevo sistema de archivos de Amazon EFS, consulte [Cifrado de datos en reposo](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
<a name="efs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NIst.800-53.r5 SI-13 (5)

**Categoría:** Recuperación > Resiliencia > Backup

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) se han agregado a los planes de copia de seguridad en AWS Backup. El control falla si los sistemas de archivos Amazon EFS no están incluidos en los planes de backup. 

La inclusión de los sistemas de archivos EFS en los planes de copia de seguridad le ayuda a proteger sus datos contra la eliminación y la pérdida de datos.

### Corrección
<a name="efs-2-remediation"></a>

Para habilitar las copias de seguridad automáticas para un sistema de archivos Amazon EFS existente, consulte [Introducción 4: Creación de copias de seguridad automáticas de Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) en la *Guía para desarrolladores de AWS Backup *.

## [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
<a name="efs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (10)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar un directorio raíz. El control falla si el valor `Path` se establece como `/` (el directorio raíz predeterminado del sistema de archivos).

Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos, ya que garantiza que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.

### Corrección
<a name="efs-3-remediation"></a>

Para obtener instrucciones sobre cómo aplicar un directorio raíz para un punto de acceso de Amazon EFS, consulte [Aplicación de un directorio raíz con un punto de acceso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
<a name="efs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para imponer la identidad de un usuario. Este control falla si no se define una identidad de usuario POSIX al crear el punto de acceso EFS.

Los puntos de accesode Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

### Corrección
<a name="efs-4-remediation"></a>

Para hacer cumplir la identidad de un usuario para un punto de acceso de Amazon EFS, consulte [Imponer una identidad de usuario mediante un punto de acceso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.5] Los puntos de acceso de EFS deben etiquetarse
<a name="efs-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**AWS Config regla:** `tagged-efs-accesspoint` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un punto de acceso de Amazon EFS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el punto de acceso no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de acceso no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="efs-5-remediation"></a>

Para agregar etiquetas a un punto de acceso de EFS, consulte [Tagging Amazon EFS resources](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento
<a name="efs-6"></a>

**Categoría:** Proteger > Seguridad de red > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Esta comprobación verifica si un destino de montaje de Amazon EFS está asociado a subredes que asignan direcciones IP públicas durante el lanzamiento. El control falla si el destino de montaje está asociado a subredes que asignan direcciones IP públicas durante el lanzamiento.

Las subredes tienen atributos que determinan si las interfaces de red reciben automáticamente direcciones y direcciones públicas IPv4 . IPv6 Para IPv4, este atributo está configurado como `TRUE` para las subredes predeterminadas y `FALSE` para las subredes no predeterminadas (con la excepción de las subredes no predeterminadas creadas mediante el asistente de lanzamiento de instancias de EC2, donde está configurado en). `TRUE` Para IPv6, este atributo se establece en para todas las subredes de forma predeterminada`FALSE`. Cuando estos atributos están habilitados, las instancias lanzadas en la subred reciben automáticamente las direcciones IP (IPv4 o IPv6) correspondientes en su interfaz de red principal. Los destinos de montaje de Amazon EFS que se lanzan en subredes que tienen habilitado este atributo reciben una dirección IP pública asignada a su interfaz de red principal durante el lanzamiento.

### Corrección
<a name="efs-6-remediation"></a>

Para asociar un destino de montaje existente a una subred diferente, debe crear un nuevo destino de montaje en una subred que no asigne direcciones IP públicas en el lanzamiento y luego eliminar el destino de montaje anterior. Para obtener información acerca de la administración de destinos de montaje, consulte [Creación y administración de destinos de montaje y grupos de seguridad](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
<a name="efs-7"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos de Amazon EFS tiene habilitadas las copias de seguridad automáticas. Este control lanza error si el sistema de archivos de EFS no tiene habilitadas las copias de seguridad automáticas.

Una copia de seguridad de datos es una copia de los datos del sistema, la configuración o la aplicación que se almacena por separado del original. La habilitación de copias de seguridad periódicas ayuda a proteger los datos valiosos frente a eventos imprevistos, como errores del sistema, ciberataques o eliminaciones accidentales. Contar con una estrategia de copia de seguridad sólida también permite una recuperación más rápida, una continuidad empresarial y brinda tranquilidad frente a una posible pérdida de datos.

### Corrección
<a name="efs-7-remediation"></a>

Para obtener información sobre el uso AWS Backup de los sistemas de archivos EFS, consulte [Hacer copias de seguridad de los sistemas de archivos EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
<a name="efs-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos Amazon EFS cifra los datos con AWS Key Management Service (AWS KMS). El control lanza error si un sistema de archivos no está cifrado.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="efs-8-remediation"></a>

Para habilitar el cifrado en reposo para un sistema de archivos de EFS nuevo, consulte [Cifrado de datos en reposo](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) en la *Guía del usuario de Amazon Elastic File System*.

# Controles CSPM de Security Hub para Amazon EKS
<a name="eks-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Kubernetes Service (Amazon EKS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
<a name="eks-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un punto de conexión de un clúster de Amazon EKS es de acceso público. El control falla si un clúster de EKS tiene un punto de conexión al que se puede acceder públicamente.

Cuando crea un clúster nuevo, Amazon EKS genera un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster. De forma predeterminada, este punto de conexión del servidor API está disponible públicamente en Internet. El acceso al servidor API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el control de acceso basado en roles (RBAC) nativo de Kubernetes. Al eliminar el acceso público al punto de conexión, puede evitar la exposición y el acceso involuntarios a su clúster.

### Corrección
<a name="eks-1-remediation"></a>

Para modificar el acceso a los puntos de conexión de un clúster de EKS existente, consulte [Modificación del acceso a los puntos de conexión de un clúster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) en la **Guía del usuario de Amazon EKS**. Puede configurar el acceso a los puntos de conexión para un nuevo clúster de EKS al crearlo. Para obtener instrucciones sobre cómo crear un nuevo clúster de Amazon EKS, consulte [Creación de un clúster de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
<a name="eks-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `oldestVersionSupported`: `1.33` (no personalizable)

Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. El control lanza un error si el clúster de EKS se ejecuta en una versión no compatible.

Si su aplicación no requiere una versión específica de Kubernetes, recomendamos que use la versión más reciente de Kubernetes disponible admitida por EKS para sus clústeres. Para obtener más información, consulte [Calendario de versiones de Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) y [Comprensión del ciclo de vida de versiones de Kubernetes en Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) en la **Guía del usuario de Amazon EKS**.

### Corrección
<a name="eks-2-remediation"></a>

Para actualizar un clúster de EKS, consulte [Actualización de un clúster existente a una nueva versión de Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
<a name="eks-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon EKS utiliza secretos de Kubernetes cifrados. El control lanza un error si los secretos de Kubernetes del clúster no están cifrados.

Al cifrar los secretos, puede utilizar las claves AWS Key Management Service (AWS KMS) para cifrar en sobres los secretos de Kubernetes almacenados en etcd para su clúster. Este cifrado se suma al cifrado de volúmenes de EBS, que está habilitado de forma predeterminada para todos los datos (incluidos los secretos) que se almacenan en etcd como parte de un clúster de EKS. El uso del cifrado de secretos para su clúster de EKS le permite implementar una estrategia de defensa exhaustiva para las aplicaciones de Kubernetes mediante el cifrado de los secretos de Kubernetes con una clave de KMS que usted defina y administre.

### Corrección
<a name="eks-3-remediation"></a>

Para habilitar el cifrado de secretos en un clúster de EKS, consulte [Habilitar el cifrado de secretos en un clúster existente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.6] Los clústeres de EKS deben etiquetarse
<a name="eks-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EKS::Cluster`

**AWS Config regla:** `tagged-eks-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eks-6-remediation"></a>

Para agregar etiquetas a un clúster de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

## [EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
<a name="eks-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EKS::IdentityProviderConfig`

**AWS Config regla:** `tagged-eks-identityproviderconfig` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una configuración de los proveedores de identidad de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la configuración no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eks-7-remediation"></a>

Para agregar etiquetas a las configuraciones de los proveedores de identidad de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

## [EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
<a name="eks-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logTypes: audit` (no personalizable)

Este control comprueba si un clúster de Amazon EKS tiene habilitado el registro de auditoría. Se produce un error en el control si el registro de auditoría no está habilitado para el clúster.

**nota**  
Este control no comprueba si el registro de auditoría de Amazon EKS está habilitado a través de Amazon Security Lake para la Cuenta de AWS.

El registro del plano de control de EKS proporciona registros de auditoría y diagnóstico directamente desde el plano de control de EKS a Amazon CloudWatch Logs de su cuenta. Puede seleccionar los tipos de registro que necesita y los registros se envían como flujos de registros a un grupo por cada clúster de EKS en el que se encuentre CloudWatch. El registro proporciona visibilidad del acceso y el rendimiento de los clústeres de EKS. Al enviar los registros del plano de control de EKS para sus clústeres de EKS a CloudWatch Logs, puede registrar las operaciones con fines de auditoría y diagnóstico en una ubicación central.

### Corrección
<a name="eks-8-remediation"></a>

Para habilitar los registros de auditoría para el clúster de EKS, consulte [Habilitación y deshabilitación de registros de plano de control](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) en la **Guía del usuario de Amazon EKS**. 

# Controles CSPM de Security Hub para ElastiCache
<a name="elasticache-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el ElastiCache servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas
<a name="elasticache-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-12, niST.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Periodo mínimo de retención de instantáneas en días  |  Entero  |  De `1` a `35`  |  `1`  | 

Este control evalúa si un clúster de Amazon ElastiCache (Redis OSS) tiene habilitadas las copias de seguridad automáticas. El control falla si el `SnapshotRetentionLimit` para el clúster de Redis OSS es inferior al periodo de tiempo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de instantáneas, Security Hub CSPM utiliza un valor predeterminado de 1 día.

ElastiCache (Redis OSS) los clústeres pueden hacer copias de seguridad de sus datos. Puede utilizar la característica de copia de seguridad para restaurar un clúster o para propagar datos en un nuevo clúster. La copia de seguridad consiste en los metadatos del clúster, junto con todos los datos del clúster. Todas las copias de seguridad se escriben en Amazon S3, que proporciona un almacenamiento duradero. Puede restaurar los datos creando un nuevo ElastiCache clúster y rellenándolo con los datos de una copia de seguridad. Puede gestionar las copias de seguridad mediante la Consola de administración de AWS AWS CLI, la y la ElastiCache API.

**nota**  
Este control también evalúa los grupos de ElastiCache replicación (Redis OSS y Valkey).

### Corrección
<a name="elasticache-1-remediation"></a>

Para obtener información sobre la programación de copias de seguridad automáticas para un ElastiCache clúster, consulte [Programar copias de seguridad automáticas](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) en la *Guía del ElastiCache usuario de Amazon*.

## [ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias
<a name="elasticache-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control evalúa si Amazon aplica ElastiCache automáticamente las actualizaciones de versiones menores a un clúster de caché. El control falla si el clúster de caché no tiene habilitadas las actualizaciones automáticas de versiones secundarias.

**nota**  
Este control no se aplica a los clústeres de ElastiCache Memcached.

La actualización automática de versiones secundarias es una función que puedes activar en Amazon ElastiCache para actualizar automáticamente tus clústeres de caché cuando haya disponible una nueva versión del motor de caché secundaria. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Seguir up-to-date con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="elasticache-2-remediation"></a>

Para aplicar automáticamente actualizaciones de versiones menores a un clúster de ElastiCache caché existente, consulte [Gestión de versiones ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) en la *Guía del ElastiCache usuario de Amazon*.

## [ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática
<a name="elasticache-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de réplicas tiene habilitada la conmutación por error automática. ElastiCache El control falla si la conmutación por error automática no está habilitada para un grupo de replicación.

Cuando se habilita la conmutación por error automática para un grupo de replicación, la característica del nodo principal tendrá una conmutación por error automática en una de las réplicas de lectura. Esta conmutación por error y promoción de réplica garantizan que pueda reanudar la escritura en la réplica principal tan pronto como se complete la promoción, lo cual reduce el tiempo de inactividad general en caso de falla.

### Corrección
<a name="elasticache-3-remediation"></a>

Para habilitar la conmutación por error automática para un grupo de ElastiCache replicación existente, consulte [Modificación de un ElastiCache clúster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) en la *Guía del ElastiCache usuario de Amazon*. Si utiliza la ElastiCache consola, active la **conmutación por error automática**.

## [ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
<a name="elasticache-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de ElastiCache replicación está cifrado en reposo. El control falla si el grupo de replicación no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. ElastiCache Los grupos de replicación (Redis OSS) deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="elasticache-4-remediation"></a>

Para configurar el cifrado en reposo en un grupo de ElastiCache replicación, consulte [Habilitar el cifrado en reposo](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) en la Guía * ElastiCache del usuario de Amazon*.

## [ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
<a name="elasticache-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de ElastiCache replicación está cifrado en tránsito. El control falla si el grupo de replicación no está cifrado en tránsito.

El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red. Al habilitar el cifrado en tránsito en un grupo de ElastiCache replicación, se cifran los datos siempre que se mueven de un lugar a otro, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación.

### Corrección
<a name="elasticache-5-remediation"></a>

Para configurar el cifrado en tránsito en un grupo de ElastiCache replicación, consulte [Habilitar el cifrado en tránsito](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) en la Guía * ElastiCache del usuario de Amazon*.

## [ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS
<a name="elasticache-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de replicación ElastiCache (Redis OSS) tiene habilitada la autenticación de Redis OSS. Se produce un error en el control si la versión de Redis OSS de los nodos del grupo de replicación es inferior a la 6.0 y `AuthToken` no está en uso.

Cuando utiliza los tokens de autenticación o contraseñas de Redis, Redis solicita una contraseña antes de permitir que los clientes ejecuten comandos, lo cual mejora la seguridad de los datos. Para Redis 6.0 y versiones posteriores, se recomienda utilizar el control de acceso basado en roles (RBAC). Como el RBAC no es compatible con las versiones de Redis anteriores a la 6.0, este control solo evalúa las versiones que no pueden usar la característica RBAC.

### Corrección
<a name="elasticache-6-remediation"></a>

*Para usar Redis AUTH en un grupo de replicación ElastiCache (Redis OSS), consulte [Modificación del token AUTH en un clúster existente ElastiCache (Redis OSS) en](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) la Guía del usuario de Amazon. ElastiCache *

## [ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
<a name="elasticache-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un ElastiCache clúster está configurado con un grupo de subredes personalizado. El control falla si `CacheSubnetGroupName` un ElastiCache clúster tiene el valor`default`.

Al lanzar un ElastiCache clúster, se crea un grupo de subredes predeterminado si aún no existe ninguno. El grupo predeterminado utiliza subredes de la nube privada virtual (VPC) predeterminada. Recomendamos usar grupos de subredes personalizados que restrinjan más las subredes en las que reside el clúster y las redes que el clúster hereda de las subredes.

### Corrección
<a name="elasticache-7-remediation"></a>

Para crear un nuevo grupo de subredes para un ElastiCache clúster, consulte [Creación de un grupo de subredes](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) en la Guía del * ElastiCache usuario de Amazon*.

# Controles CSPM de Security Hub para Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Elastic Beanstalk servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados
<a name="elasticbeanstalk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los informes de estado mejorados están habilitados para sus entornos AWS Elastic Beanstalk .

Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían provocar una falta de disponibilidad de la aplicación.

Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para evaluar la gravedad de los problemas detectados e identificar las posibles causas que se deben investigar. El agente de estado de Elastic Beanstalk, incluido en Amazon Machine AMIs Images () compatible, evalúa los registros y las métricas de las instancias del entorno. EC2

Para obtener información adicional, consulte la [Supervisión y los informes de estado mejorados](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) en la *Guía para desarrolladores de AWS Elastic Beanstalk *.

### Corrección
<a name="elasticbeanstalk-1-remediation"></a>

Para obtener instrucciones sobre cómo habilitar los informes de estado mejorados, consulte [Habilitar los informes de estado mejorados mediante la consola de Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) en la *Guía para desarrolladores de AWS Elastic Beanstalk *.

## [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas
<a name="elasticbeanstalk-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2,NIST.800-53.r5 SI-2(2),NIST.800-53.r5 SI-2(4),NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Nivel de actualización de la versión  |  Enum  |  `minor`, `patch`  |  Sin valor predeterminado  | 

Este control comprueba si las actualizaciones de la plataforma administradas están habilitadas para un entorno de Elastic Beanstalk. Se produce un error en el control si no están habilitadas las actualizaciones de la plataforma administradas. De manera predeterminada, el control pasa si algún tipo de actualización de la plataforma está habilitado. De manera opcional, puede proporcionar un valor personalizado de parámetro para requerir un nivel de actualización específico.

Al habilitar las actualizaciones de plataforma administradas, se garantiza que se instalen las últimas correcciones, actualizaciones y funciones de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="elasticbeanstalk-2-remediation"></a>

Para habilitar las actualizaciones de la plataforma administradas, consulte [Configuración de las actualizaciones de la plataforma administradas en la sección Actualizaciones de la plataforma administradas](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) de la *Guía para desarrolladores de AWS Elastic Beanstalk *.

## [ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
<a name="elasticbeanstalk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Cantidad de días que se van a conservar los eventos de registro antes de que expiren  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Sin valor predeterminado  | 

Este control comprueba si un entorno de Elastic Beanstalk está configurado para enviar registros a Logs. CloudWatch El control falla si el entorno de Elastic Beanstalk no está configurado para enviar registros a Logs. CloudWatch De manera opcional, puede proporcionar un valor personalizado para el parámetro `RetentionInDays` si quiere que el control pase únicamente si los registros se retienen durante la cantidad de días especificada antes de que expiren.

CloudWatch le ayuda a recopilar y monitorear diversas métricas para sus aplicaciones y recursos de infraestructura. También se puede utilizar CloudWatch para configurar acciones de alarma en función de métricas específicas. Recomendamos integrar Elastic CloudWatch Beanstalk con para obtener una mayor visibilidad del entorno de Elastic Beanstalk. Los registros de Elastic Beanstalk incluyen el archivo eb-activity.log, los registros de acceso del entorno nginx o el servidor proxy Apache y los registros específicos de un entorno.

### Corrección
<a name="elasticbeanstalk-3-remediation"></a>

*Para integrar Elastic CloudWatch Beanstalk con Logs[, consulte Transmitir registros de instancias a Logs en la Guía para CloudWatch desarrolladores](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *

# Controles CSPM de Security Hub para Elastic Load Balancing
<a name="elb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Elastic Load Balancing. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS
<a name="elb-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el redireccionamiento de HTTP a HTTPS está configurado en todos los oyentes HTTP de los equilibradores de carga de aplicación. El control falla si alguno de los detectores HTTP de los equilibradores de carga de aplicaciones no tiene configurada la redirección de HTTP a HTTPS.

Antes de comenzar a utilizar el equilibrador de carga de aplicación, debe agregar al menos uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes admiten los protocolos HTTP y HTTPS. Puede utilizar un oyente HTTPS para descargar el trabajo de cifrado y descifrado a su equilibrador de carga. Para forzar el cifrado en tránsito, debe usar acciones de redireccionamiento con los equilibradores de carga de aplicación para redirigir las solicitudes HTTP del cliente hacia una solicitud HTTPS en el puerto 443.

Para obtener más información, consulte [Creación de un agente de escucha para el Equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) en la *Guía del usuario de Equilibrador de carga de aplicacións*.

### Corrección
<a name="elb-1-remediation"></a>

Para redirigir las solicitudes HTTP a HTTPS, debe agregar una regla de escucha de Equilibrador de carga de aplicación o editar una regla existente.

Para obtener instrucciones sobre cómo agregar una nueva regla, consulte [Agregar una regla](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. En **Protocolo : Puerto**, elija **HTTP** y luego ingrese **80**. En **Añadir acción, Redirigir a**, elija **HTTPS** y, a continuación, introduzca **443**.

Para obtener instrucciones sobre cómo editar una regla existente, consulte [Editar una regla](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. En **Protocolo : Puerto**, elija **HTTP** y luego ingrese **80**. En **Añadir acción, Redirigir a**, elija **HTTPS** y, a continuación, introduzca **443**.

## [ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager
<a name="elb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (5), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.8

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el Classic Load Balancer utiliza HTTPS/SSL los certificados proporcionados por AWS Certificate Manager (ACM). El control falla si el Classic Load Balancer configurado con el HTTPS/SSL listener no utiliza un certificado proporcionado por ACM.

Para crear un certificado, puede utilizar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub CSPM recomienda usar ACM para crear o importar certificados para el balanceador de carga.

ACM se integra con Equilibrador de carga clásico, lo que le permite implementar el certificado en el equilibrador de carga. También debe renovar estos certificados automáticamente.

### Corrección
<a name="elb-2-remediation"></a>

Para obtener información sobre cómo asociar un SSL/TLS certificado ACM a un Classic Load Balancer, consulte AWS el [artículo del Knowledge Center ¿Cómo puedo asociar un certificado SSL/TLS ACM a un Classic, Application o Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS
<a name="elb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NiSt.800-53.r5 SI-7 (6), NIst.800-171.r2 3.13.8, NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los agentes de escucha de Equilibrador de carga clásico están configurados con el protocolo HTTPS o TLS para las conexiones frontend (entre el cliente y el equilibrador de carga). El control se aplica si un Equilibrador de carga clásico tiene oyentes. Si su Equilibrador de carga clásico no tiene un listener configurado, el control no informa de ningún resultado.

El control pasa si los oyentes de Equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end.

El control falla si el listener no está configurado con TLS o HTTPS para las conexiones front-end.

Antes de comenzar a utilizar un equilibrador de carga, debe agregar uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes pueden admitir tanto HTTP como HTTPS/TLS protocolos. Siempre debe usar un agente de escucha HTTPS o TLS para que el equilibrador de cargas se encargue de cifrar y desencriptar en tránsito.

### Corrección
<a name="elb-3-remediation"></a>

Para solucionar este problema, actualiza tus oyentes para que usen el protocolo TLS o HTTPS.

**Para cambiar todos los oyentes no compatibles por oyentes TLS/HTTPS**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, en **Equilibración de carga**, elija **equilibradores de carga**.

1. Etiquetado del equilibrador de carga clásico

1. En la pestaña **Listeners** (Agentes de escucha), seleccione **Edit** (Editar).

1. Para todos los oyentes en los que el Protocolo **Equilibrador de carga** no esté configurado en HTTPS o SSL, cambie la configuración a HTTPS o SSL.

1. Para todos los oyentes modificados, en la pestaña **Certificados**, seleccione **Cambiar el valor predeterminado**.

1. Para los **certificados ACM e IAM**, seleccione un certificado.

1. Seleccione **Guardar como predeterminado**.

1. Tras actualizar todos los oyentes, selecciona **Guardar**.

## [ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos
<a name="elb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control evalúa si un equilibrador de carga de aplicación está configurado para eliminar los encabezados HTTP no válidos. El control falla si el valor `routing.http.drop_invalid_header_fields.enabled` se establece como `false`.

De forma predeterminada, los equilibradores de carga de aplicaciones no están configurados para eliminar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita los ataques de desincronización de HTTP.

**nota**  
Recomendamos deshabilitar este control si ELB.12 está habilitado en su cuenta. Para obtener más información, consulte [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](#elb-12).

### Corrección
<a name="elb-4-remediation"></a>

Para solucionar este problema, configura tu equilibrador de cargas para eliminar los campos de encabezado no válidos.

**Cómo configurar el equilibrador de carga para eliminar campos de encabezado no válidos**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Load balancers (Balanceadores de carga)**.

1. Eliminación de un Equilibrador de carga de aplicación

1. Para **Acciones**, elija **Editar atributos**.

1. En **Eliminar campos de encabezado no válidos**, selecciona **Activar**.

1. Seleccione **Save**.

## [ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado
<a name="elb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el Equilibrador de carga de aplicación y el Equilibrador de carga clásico tienen el registro activado. El control tiene errores si `access_logs.s3.enabled` es `false`.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas. 

Para obtener más información, consulte [Etiquetado del Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) en la *Guía del usuario de Equilibrador de carga clásicos*.

### Corrección
<a name="elb-5-remediation"></a>

Para habilitar los registros de acceso, consulte el [Paso 3: Configurar los registros de acceso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) en la *Guía del usuario de los equilibradores de carga de aplicaciones*.

## [ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada
<a name="elb-6"></a>

**Requisitos relacionados**: (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el equilibrador de carga de red, de puerta de enlace o de aplicación tiene habilitada la protección contra eliminación. El control falla si la protección contra la eliminación está deshabilitada.

Habilite la protección contra eliminación para evitar que el equilibrador de carga de red, de puerta de enlace o de aplicación se elimine.

### Corrección
<a name="elb-6-remediation"></a>

Para evitar que el equilibrador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del equilibrador de carga está deshabilitada.

Si habilita la protección contra eliminación del equilibrador de carga, deberá deshabilitarla para poder eliminarlo.

Para habilitar la protección contra la eliminación de un equilibrador de carga de aplicación, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. Para habilitar la protección contra la eliminación de un equilibrador de carga de puerta de enlace, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de puerta de enlace*. Para habilitar la protección contra la eliminación de un equilibrador de carga de red, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de red*.

## [ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
<a name="elb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiST.800-53.r5 CM-2

**Categoría:** Recuperación > Resiliencia

**Gravedad:** baja

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config regla:** `elb-connection-draining-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los equilibradores de carga clásicos tienen habilitado el drenaje de conexión.

Al habilitar el drenaje de conexiones en los Equilibradores de carga clásicos se garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que están en proceso de anulación del registro o se encuentran en mal estado. Mantiene abiertas las conexiones existentes. Esto es particularmente útil para instancias en grupos de escalado automático, para garantizar que las conexiones no se interrumpan abruptamente.

### Corrección
<a name="elb-7-remediation"></a>

Para habilitar el drenaje de conexión en Equilibrador de carga clásico, consulte [Configuración del drenaje de conexión para el Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) en la *Guía del usuario de Equilibrador de carga clásico*.

## [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config
<a name="elb-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NiSt.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.8, NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (no personalizable)

Este control comprueba si los HTTPS/SSL oyentes de Classic Load Balancer utilizan la política predefinida. `ELBSecurityPolicy-TLS-1-2-2017-01` El control falla si los HTTPS/SSL oyentes de Classic Load Balancer no lo utilizan. `ELBSecurityPolicy-TLS-1-2-2017-01`

Una política de seguridad es una combinación de protocolos SSL, cifrados y la opción de preferencia del orden del servidor. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que se deben admitir durante las negociaciones SSL entre un cliente y un equilibrador de carga.

Usar `ELBSecurityPolicy-TLS-1-2-2017-01` puede ayudarlo a cumplir con los estándares de cumplimiento y seguridad que requieren que deshabilite versiones específicas de SSL y TLS. Para obtener más información, consulte [Agentes de escucha para el Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) en la *Guía del usuario de Equilibrador de carga clásicos*.

### Corrección
<a name="elb-8-remediation"></a>

Para obtener información sobre cómo utilizar la política de seguridad predefinida de `ELBSecurityPolicy-TLS-1-2-2017-01` con un Equilibrador de carga clásico, consulte [Configurar los ajustes de seguridad](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) en la *Guía del usuario de Equilibrador de carga clásicos*.

## [ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas
<a name="elb-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el equilibrio de carga entre zonas está habilitado para los balanceadores de carga clásicos (). CLBs El control falla si el equilibrio de carga entre zonas no está habilitado para un CLB.

Cada nodo del equilibrador de carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente. Cuando el equilibrio de carga entre zonas está deshabilitado, cada nodo del equilibrador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en todas las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona podrían terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing, cada nodo del equilibrador de carga de su equilibrador de carga clásico distribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas de disponibilidad habilitadas. Para obtener más información, [consulte Equilibrio de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) en la Guía del usuario de Elastic Load Balancing.

### Corrección
<a name="elb-9-remediation"></a>

Para habilitar el balanceo de cargas entre zonas en un Equilibrador de carga clásico, consulta [Habilitar el balanceo de cargas entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) en la *Guía del usuario de Equilibrador de carga clásicos*.

## [ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
<a name="elb-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un Classic Load Balancer se ha configurado para abarcar al menos el número especificado de zonas de disponibilidad ()AZs. El control falla si el Classic Load Balancer no abarca al menos el número especificado de. AZs A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

 Puede configurar el equilibrador de carga clásico para que las solicitudes de entrada se distribuyan entre las instancias de Amazon EC2 de una única zona de disponibilidad o de varias. Un Equilibrador de carga clásico que no abarque varias zonas de disponibilidad no puede redirigir el tráfico a destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible. 

### Corrección
<a name="elb-10-remediation"></a>

 Para agregar zonas de disponibilidad a un equilibrador de carga clásico, consulte [Add or remove subnets for your Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) en la *Guía del usuario para los Equilibradores de carga clásicos*. 

## [ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
<a name="elb-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoría:** Protección > Protección de datos > Integridad de los datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `desyncMode`: `defensive, strictest` (no personalizable)

Este control comprueba si un Equilibrador de carga de aplicación está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si un Equilibrador de carga de aplicación no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el uso indebido de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga de aplicaciones configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP. 

### Corrección
<a name="elb-12-remediation"></a>

Para actualizar el modo de mitigación de desincronización de un Equilibrador de carga de aplicación, [consulte el modo de mitigación de desincronización](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) en la *Guía del usuario de Equilibrador de carga de aplicaciones*. 

## [ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad
<a name="elb-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, (2), NiSt.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad 

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un Elastic Load Balancer V2 (balanceador de carga de aplicaciones, redes o puertas de enlace) ha registrado instancias de al menos el número especificado de zonas de disponibilidad (). AZs El control falla si un Elastic Load Balancer V2 no tiene instancias registradas en al menos el número especificado de. AZs A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo, instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Elastic Load Balancing escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que el Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si alguna deja de estar disponible. Tener configuradas varias zonas de disponibilidad ayudará a evitar que la aplicación tenga un único punto de error. 

### Corrección
<a name="elb-13-remediation"></a>

Para agregar una zona de disponibilidad a un Equilibrador de carga de aplicación, consulte [Zonas de disponibilidad para el equilibrador de carga de aplicaciones](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) en la *Guía del usuario para equilibradores de carga de aplicaciones*. Para crear un equilibrador de carga de red, consulte [Introducción a los equilibradores de carga de red](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) en la *Guía del usuario de los equilibradores de carga de red*. Para añadir una zona de disponibilidad a un equilibrador de carga de puerta de enlace, consulte [Crear un equilibrador de carga de puerta de enlace](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) en la *Guía del usuario de equilibradores de carga de puerta de enlace*. 

## [ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
<a name="elb-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoría:** Protección > Protección de datos > Integridad de los datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `desyncMode`: `defensive, strictest` (no personalizable)

Este control comprueba si un Equilibrador de carga clásico está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si el Equilibrador de carga clásico no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga clásicos configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP. 

### Corrección
<a name="elb-14-remediation"></a>

Para actualizar el modo de mitigación de desincronización en un Equilibrador de carga clásico, consulte [Modificar el modo de mitigación de desincronización](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) en la *Guía del usuario de Equilibrador de carga clásico*. 

## [ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web
<a name="elb-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un Application Load Balancer está asociado a una lista de control de acceso AWS WAF web (ACL web) AWS WAF clásica o web. El control falla si el `Enabled` campo de la AWS WAF configuración está establecido en. `false`

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y contra APIs los ataques. Con AWS WAFél, puede configurar una ACL web, que es un conjunto de reglas que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Recomendamos asociar el Application Load Balancer a AWS WAF una ACL web para protegerlo de ataques malintencionados.

### Corrección
<a name="elb-16-remediation"></a>

*Para asociar un Application Load Balancer a una ACL web, consulte [Asociar o desasociar una ACL web a un AWS recurso en la Guía](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) para desarrolladores.AWS WAF * 

## [ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas
<a name="elb-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (no personalizables)

Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El control falla si el oyente HTTPS o TLS del equilibrador de carga no está configurado para usar una política de seguridad recomendada.

Elastic Load Balancing usa una configuración de negociación SSL, conocida como una *política de seguridad*, para negociar las conexiones entre un cliente y un equilibrador de carga. La política de seguridad especifica una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. El uso de una política de seguridad recomendada para un equilibrador de carga contribuye a cumplir los estándares de cumplimiento y seguridad.

### Corrección
<a name="elb-17-remediation"></a>

Para obtener información sobre las políticas de seguridad recomendadas y cómo actualizar los oyentes, consulte las siguientes secciones de la *Guía del usuario de Elastic Load Balancing*: [Políticas de seguridad para equilibradores de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), [Políticas de seguridad para equilibradores de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [Actualización de un oyente HTTPS para un equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) y [Actualización de un oyente para un equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html).

## [ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito
<a name="elb-18"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si el oyente de un equilibrador de carga de aplicación o de un equilibrador de carga de red está configurado para usar un protocolo seguro para cifrar los datos en tránsito. El control falla si el oyente de un equilibrador de carga de aplicación no usa el protocolo HTTPS o si el oyente de un equilibrador de carga de red no usa el protocolo TLS.

Para cifrar los datos transmitidos entre un cliente y un equilibrador de carga, los oyentes de Elastic Load Balancing se deben configurar con protocolos de seguridad estándar del sector: HTTPS para equilibradores de carga de aplicación o TLS para equilibradores de carga de red. De lo contrario, los datos transmitidos entre un cliente y un equilibrador de carga quedan expuestos a interceptación, manipulación y acceso no autorizado. El uso de HTTPS o TLS por parte de un oyente se ajusta a las prácticas recomendadas de seguridad y ayuda a garantizar la confidencialidad e integridad de los datos durante la transmisión. Esto es especialmente importante para aplicaciones que manejan información confidencial o que deben cumplir con estándares de seguridad que requieren cifrado de los datos en tránsito.

### Corrección
<a name="elb-18-remediation"></a>

Para obtener información sobre cómo configurar protocolos de seguridad para los oyentes, consulte las siguientes secciones de la *Guía del usuario de Elastic Load Balancing*: [Creación de un oyente HTTPS para el equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) y [Creación de un oyente para el equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html).

## [ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados
<a name="elb-21"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el grupo objetivo de las comprobaciones de estado del balanceador de carga de aplicaciones y redes utiliza un protocolo de transporte cifrado. El control produce un error si el protocolo de comprobación de estado no utiliza HTTPS. Este control no se aplica a los tipos de objetivos Lambda.

 Los balanceadores de carga envían solicitudes de verificación de estado a los objetivos registrados para determinar su estado y enrutar el tráfico en consecuencia. El protocolo de comprobación de estado especificado en la configuración del grupo objetivo determina cómo se realizan estas comprobaciones. Cuando los protocolos de control de estado utilizan comunicaciones no cifradas, como HTTP, las solicitudes y respuestas se pueden interceptar o manipular durante la transmisión. Esto permite a los atacantes obtener información sobre la configuración de la infraestructura, alterar los resultados de las comprobaciones de estado o llevar a cabo man-in-the-middle ataques que afecten a las decisiones de enrutamiento. El uso de HTTPS para las comprobaciones de estado proporciona una comunicación cifrada entre el balanceador de cargas y sus objetivos, lo que protege la integridad y la confidencialidad de la información sobre el estado de salud.

### Corrección
<a name="elb-21-remediation"></a>

Para configurar comprobaciones de estado cifradas para el grupo objetivo del Application Load Balancer, consulte [Actualizar la configuración de las comprobaciones de estado de un grupo objetivo del Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) en la Guía del usuario de *Elastic Load Balancing*. Para configurar las comprobaciones de estado cifradas para el grupo objetivo del Network Load Balancer, consulte [Actualizar la configuración de las comprobaciones de estado de un grupo objetivo del Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) en la Guía del usuario de *Elastic Load Balancing*.

## [ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
<a name="elb-22"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo objetivo de Elastic Load Balancing utiliza un protocolo de transporte cifrado. Este control no se aplica a los grupos objetivo con un tipo objetivo de Lambda o ALB, ni a los grupos objetivo que utilizan el protocolo GENEVE. El control falla si el grupo objetivo no usa los protocolos HTTPS, TLS o QUIC.

 El cifrado de los datos en tránsito los protege de la interceptación por parte de usuarios no autorizados. Los grupos objetivo que utilizan protocolos no cifrados (HTTP, TCP, UDP) transmiten datos sin cifrar, lo que los hace vulnerables a las escuchas clandestinas. El uso de protocolos cifrados (HTTPS, TLS, QUIC) garantiza la protección de los datos transmitidos entre los balanceadores de carga y los objetivos.

### Corrección
<a name="elb-22-remediation"></a>

Para usar un protocolo cifrado, debe crear un nuevo grupo objetivo con el protocolo HTTPS, TLS o QUIC. El protocolo del grupo objetivo no se puede modificar después de su creación. Para crear un grupo objetivo de Application Load Balancer, consulte [Crear un grupo objetivo para su Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer en la Guía del usuario de *Elastic Load Balancing*. Para crear un grupo objetivo de Network Load Balancer, consulte [Crear un grupo objetivo para el Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer en la Guía del usuario de *Elastic Load Balancing*. 

# Security Hub (CSPM) para Elasticsearch
<a name="es-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Elasticsearch.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
<a name="es-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIst.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (6)

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch tienen habilitada la configuración de cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.

Para aumentar la seguridad de sus datos confidenciales OpenSearch, debe configurarlos OpenSearch para que estén cifrados en reposo. Los dominios Elasticsearch ofrecen cifrado de datos en reposo. La función se utiliza AWS KMS para almacenar y administrar sus claves de cifrado. Para realizar el cifrado, utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el OpenSearch cifrado en reposo, consulta [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

Algunos tipos de instancias, como `t.small` y `t.medium`, no admiten el cifrado de datos en reposo. Para obtener más información, consulta los [tipos de instancias compatibles](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

### Corrección
<a name="es-1-remediation"></a>

Para habilitar el cifrado en reposo para dominios de Elasticsearch nuevos y existentes, consulta Cómo [habilitar el cifrado de datos en reposo en](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) la Guía para *desarrolladores de Amazon OpenSearch Service*.

## [ES.2] Los dominios de Elasticsearch no deben ser de acceso público
<a name="es-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC 

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. Consulta [las políticas basadas en recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) en la Guía para *desarrolladores de Amazon OpenSearch Service*. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte [Prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) en la *Guía del usuario de Amazon VPC*.

Los dominios de Elasticsearch implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCs proporcionan una serie de controles de red para proteger el acceso a los dominios de Elasticsearch, incluidas las ACL de red y los grupos de seguridad. Security Hub CSPM recomienda migrar los dominios públicos de Elasticsearch VPCs a para aprovechar estos controles.

### Corrección
<a name="es-2-remediation"></a>

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe [crear otro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) o deshabilitar este control.

Consulte Cómo [lanzar sus dominios de Amazon OpenSearch Service dentro de una VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

## [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
<a name="es-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Elasticsearch tiene el node-to-node cifrado activado. El control falla si el dominio de Elasticsearch no tiene el cifrado activado. node-to-node El control también produce resultados erróneos si una versión de Elasticsearch no admite las comprobaciones de cifrado. node-to-node 

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques u otros similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado en los dominios de Elasticsearch, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción. 

### Corrección
<a name="es-3-remediation"></a>

Para obtener información sobre cómo habilitar el node-to-node cifrado en dominios nuevos y existentes, consulta [Habilitar el node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros
<a name="es-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logtype = 'error'` (no personalizable)

Este control comprueba si los dominios CloudWatch de Elasticsearch están configurados para enviar registros de errores a Logs.

Debes habilitar los registros de errores para los dominios de Elasticsearch y enviar esos CloudWatch registros a Logs para su retención y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="es-4-remediation"></a>

Para obtener información sobre cómo habilitar la publicación de registros, consulte [Habilitar la publicación de registros (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
<a name="es-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-audit-logging-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `cloudWatchLogsLogGroupArnList` (no personalizable). El CSPM de Security Hub no rellena este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.

  Esta regla se aplica `NON_COMPLIANT` si el grupo de CloudWatch registros de registros del dominio de Elasticsearch no está especificado en esta lista de parámetros.

Este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control falla si un dominio de Elasticsearch no tiene habilitado el registro de auditoría. 

Los registros de auditoría son altamente personalizables. Te permiten realizar un seguimiento de la actividad de los usuarios en tus clústeres de Elasticsearch, incluidos los éxitos y los errores de autenticación, las solicitudes, los cambios de indexación y las consultas de búsqueda entrantes. OpenSearch

### Corrección
<a name="es-5-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulta [Habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
<a name="es-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-data-node-fault-tolerance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y `zoneAwarenessEnabled` es `true`.

Un dominio de Elasticsearch requiere al menos tres nodos de datos para una alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

### Corrección
<a name="es-6-remediation"></a>

**Cómo modificar la cantidad de nodos de datos en un dominio de Elasticsearch**

1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Dominios**, elija el nombre del dominio que desea editar.

1. Elija **Edit domain (Editar dominio)**.

1. En **Nodos de datos**, estableza **Número de nodos** en un número mayor o igual a `3`.

   Para tres implementaciones de zonas de disponibilidad, establézcalo en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.

1. Seleccione **Enviar**.

## [ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
<a name="es-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-primary-node-fault-tolerance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos principales dedicados. Este control falla si el dominio no utiliza nodos principales dedicados. Este control pasa si los dominios de Elasticsearch tienen cinco nodos principales dedicados. Sin embargo, el uso de más de tres nodos principales puede ser innecesario para mitigar el riesgo de disponibilidad y generará un costo adicional.

Un dominio de Elasticsearch requiere al menos tres nodos principales dedicados para una alta disponibilidad y tolerancia a los errores. Los recursos del nodo principal dedicado pueden agotarse durante las blue/green implementaciones de los nodos de datos porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos principales dedicados garantiza una capacidad suficiente de recursos del nodo principal y operaciones de clúster en caso de que un nodo falle.

### Corrección
<a name="es-7-remediation"></a>

**Para modificar la cantidad de nodos principales dedicados en un dominio OpenSearch**

1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Dominios**, elija el nombre del dominio que desea editar.

1. Elija **Edit domain (Editar dominio)**.

1. En **Nodos maestros dedicados**, defina el **tipo de instancia** en el tipo de instancia deseado.

1. Establezca el **Número de nodos maestros** en tres o más.

1. Seleccione **Enviar**.

## [ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente
<a name="es-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-https-required` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de conexión del dominio de Elasticsearch está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto final del dominio de Elasticsearch no está configurado para usar la última política compatible o si HTTPs no está habilitado. La política de seguridad TLS compatible más reciente es `Policy-Min-TLS-1-2-PFS-2023-10`.

Se puede usar HTTPS (TLS) para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.

### Corrección
<a name="es-8-remediation"></a>

Para habilitar el cifrado TLS, utilice la operación de la API [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) para configurar el objeto [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html). Esto establece la `TLSSecurityPolicy`.

## [ES.9] Los dominios de Elasticsearch deben estar etiquetados
<a name="es-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `tagged-elasticsearch-domain` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un dominio de Elasticsearch tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="es-9-remediation"></a>

Para añadir etiquetas a un dominio de Elasticsearch, consulta Cómo [trabajar con etiquetas](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

# Controles CSPM de Security Hub para Amazon EMR
<a name="emr-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon EMR (anteriormente denominado Amazon Elastic MapReduce). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
<a name="emr-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3) NIST.800-53.r5 AC-3, (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EMR::Cluster`

**AWS Config regla: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.

Las direcciones IP públicas se designan en el campo `PublicIp` de la configuración de `NetworkInterfaces` de la instancia. Este control solo comprueba los clústeres de Amazon EMR que se encuentran en un estado `RUNNING` o`WAITING`.

### Corrección
<a name="emr-1-remediation"></a>

Durante el lanzamiento, puedes controlar si a la instancia de una subred predeterminada o no predeterminada se le asigna una dirección pública. IPv4 De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como `true`. Las subredes no predeterminadas tienen el atributo de direccionamiento IPv4 público establecido en`false`, a menos que lo haya creado el asistente de EC2 lanzamiento de instancias de Amazon. En ese caso, el atributo se establece como `true`.

Tras el lanzamiento, no puedes desasociar manualmente una IPv4 dirección pública de tu instancia.

Para corregir un error en la búsqueda, debe lanzar un nuevo clúster en una VPC con una subred privada que tenga IPv4 el atributo de direccionamiento público establecido en. `false` Para obtener instrucciones, consulte [Lanzamiento de clústeres en una VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) en la *Guía de administración de Amazon EMR*.

## [EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
<a name="emr-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si su cuenta está configurada con el bloqueo de acceso público de Amazon EMR. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.

El bloqueo de acceso público de Amazon EMR evita que lance un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de su Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 : :/0, y esos puertos no se especifican como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.

**nota**  
Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

### Corrección
<a name="emr-2-remediation"></a>

Para configurar el bloqueo de acceso público para Amazon EMR, consulte [Uso de Bloquear el acceso público de Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) en la *Guía de administración de Amazon EMR*.

## [EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
<a name="emr-3"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5** CP-9 (8), NIST.800-53.r5 SI-12

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en reposo. El control falla si la configuración de seguridad no habilita el cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="emr-3-remediation"></a>

Para habilitar el cifrado en reposo en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.

## [EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
<a name="emr-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en tránsito. El control falla si la configuración de seguridad no habilita el cifrado en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="emr-4-remediation"></a>

Para habilitar el cifrado en tránsito en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.

# Controles CSPM de Security Hub para EventBridge
<a name="eventbridge-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el EventBridge servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
<a name="eventbridge-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Events::EventBus`

**AWS Config regla:** `tagged-events-eventbus` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un bus de EventBridge eventos de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el bus de eventos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el bus de eventos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eventbridge-2-remediation"></a>

Para añadir etiquetas a un autobús de EventBridge eventos, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) en la *Guía del EventBridge usuario de Amazon*.

## [EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos
<a name="eventbridge-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** baja

**Tipo de recurso:** `AWS::Events::EventBus`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bus de eventos EventBridge personalizado de Amazon tiene adjunta una política basada en recursos. Este control falla si el bus de eventos personalizado no tiene una política basada en recursos.

De forma predeterminada, un bus de eventos EventBridge personalizado no incluye una política basada en recursos. Esto permite a los directores de la cuenta acceder al bus de eventos. Al adjuntar una política basada en recursos al bus de eventos, puede limitar el acceso al bus de eventos a cuentas específicas, así como conceder acceso intencionadamente a entidades de otra cuenta.

### Corrección
<a name="eventbridge-3-remediation"></a>

*Para adjuntar una política basada en recursos a un bus de eventos EventBridge personalizado, consulta [Uso de políticas basadas en recursos para Amazon en EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) la Guía del usuario de Amazon. EventBridge *

## [EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos
<a name="eventbridge-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Events::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la replicación de eventos está habilitada para un punto final EventBridge global de Amazon. El control falla si la replicación de eventos no está habilitada para un punto de conexión global.

Los puntos finales globales ayudan a que su aplicación sea tolerante a los errores Regionales. Para empezar, debe asignar una comprobación de estado de Amazon Route 53 al punto de conexión. Cuando se inicia la conmutación por error, la comprobación de estado indica un estado “en mal estado”. A los pocos minutos del inicio de la conmutación por error, todos los eventos personalizados se enrutan a un bus de eventos en la región secundaria y son procesados por ese bus de eventos. Al utilizar puntos finales globales, puede habilitar la replicación de eventos. La replicación de eventos envía todos los eventos personalizados a los buses de eventos de las regiones principal y secundaria mediante reglas administradas. Recomendamos habilitar la replicación de eventos al configurar los puntos finales globales. La replicación de eventos le ayuda a comprobar que los puntos finales globales están configurados correctamente. La replicación de eventos es necesaria para recuperarse automáticamente de un evento de conmutación por error. Si no tiene habilitada la replicación de eventos, tendrá que restablecer manualmente la comprobación de estado de Route 53 a “en buen estado” antes de que los eventos se redirijan a la región principal.

**nota**  
Si utilizas autobuses de eventos personalizados, necesitarás un autobús de eventos personalizado en cada región con el mismo nombre y en la misma cuenta para que la conmutación por error funcione correctamente. Habilitación de la replicación de eventos puede aumentar su costo mensual. Para obtener información sobre los precios, consulta los [ EventBridge precios de Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Corrección
<a name="eventbridge-4-remediation"></a>

Para habilitar la replicación de eventos para puntos de enlace EventBridge globales, consulte [Crear un punto de enlace global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) en la *Guía del EventBridge usuario de Amazon*. Para la **Replicación de eventos**, seleccione **Replicación de eventos habilitada**.

# Controles CSPM de Security Hub para Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Fraud Detector.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
<a name="frauddetector-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::EntityType`

**Regla de AWS Config : ** `frauddetector-entity-type-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si un tipo de entidad de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el tipo de entidad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si el tipo de entidad no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-1-remediation"></a>

**Para agregar etiquetas a un tipo de entidad de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Entidades**.

1. Seleccione un tipo de entidad en la lista.

1. En la sección **etiquetas de tipos de entidad**, seleccione **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
<a name="frauddetector-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Label`

**Regla de AWS Config : ** `frauddetector-label-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una etiqueta de categoría de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la etiqueta de categoría no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la etiqueta de categoría no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-2-remediation"></a>

**Para agregar etiquetas a una etiqueta de categoría de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Etiquetas de categoría**.

1. Seleccione una etiqueta de categoría en la lista.

1. En la sección **etiquetas de etiquetas de categorías**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
<a name="frauddetector-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Outcome`

**Regla de AWS Config : ** `frauddetector-outcome-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una salida de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la salida no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la salida no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-3-remediation"></a>

**Para agregar etiquetas a una salida de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Salidas**.

1. Seleccione una salida en la lista.

1. En la sección **etiquetas de salidas**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
<a name="frauddetector-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Variable`

**Regla de AWS Config : ** `frauddetector-variable-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una variable de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la variable no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si la variable no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-4-remediation"></a>

**Para agregar etiquetas a una variable de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Variables**.

1. Seleccione una variable de la lista.

1. En la sección **etiquetas de variables**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

# Controles CSPM de Security Hub para Amazon FSx
<a name="fsx-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el FSx servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes
<a name="fsx-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos Amazon FSx for OpenZFS está configurado para copiar etiquetas en copias de seguridad y volúmenes. Se produce un error en el control si el sistema de archivos de OpenZFS no está configurado para copiar etiquetas en copias de seguridad y volúmenes.

La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le ayudan a clasificar AWS los recursos de diferentes maneras, por ejemplo, por propósito, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.

### Corrección
<a name="fsx-1-remediation"></a>

Para obtener información sobre cómo configurar un sistema de archivos OpenZFS FSx para copiar etiquetas en copias de seguridad y volúmenes, consulte [Actualización de un sistema de archivos](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) en la Guía del usuario de *Amazon FSx para OpenZFS*.

## [FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad
<a name="fsx-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos de Amazon FSx for Lustre está configurado para copiar etiquetas en copias de seguridad y volúmenes. Se produce un error en el control si el sistema de archivos de Lustre no está configurado para copiar etiquetas en copias de seguridad y volúmenes.

La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le ayudan a clasificar AWS los recursos de diferentes maneras, por ejemplo, por propósito, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.

### Corrección
<a name="fsx-2-remediation"></a>

Para obtener información sobre cómo configurar un sistema de archivos FSx para Lustre para copiar etiquetas a copias de seguridad, consulte [Copiar copias de seguridad dentro del mismo](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) sistema Cuenta de AWS en la Guía del *usuario de Amazon FSx for Lustre*.

## [FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-3"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:** `deploymentTypes: MULTI_AZ_1` (no personalizables)

Este control comprueba si un sistema de archivos Amazon FSx for OpenZFS está configurado para utilizar el tipo de despliegue de múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.

Amazon FSx for OpenZFS admite varios tipos de implementación para sistemas de archivos: *Multi-AZ (HA), Single-AZ (HA)* *y *Single-AZ* (no HA)*. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Multi-AZ (HA) se componen de un par de servidores de archivos de alta disponibilidad (HA) que se distribuyen en dos zonas de disponibilidad (). AZs Recomendamos usar el tipo de implementación Multi-AZ (alta disponibilidad) para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.

### Corrección
<a name="fsx-3-remediation"></a>

Puede configurar un sistema de archivos Amazon FSx for OpenZFS para que utilice el tipo de despliegue Multi-AZ al crear el sistema de archivos. No puede cambiar el tipo de implementación de un sistema de archivos existente FSx para OpenZFS.

Para obtener información sobre los tipos y opciones de implementación de los sistemas de archivos OpenZFS, consulte [Disponibilidad y durabilidad de Amazon FSx para OpenZFS y](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) [Administración de los recursos del sistema de archivos en](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) la Guía del usuario de *Amazon FSx for* OpenZFS. FSx 

## [FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-4"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Una lista de tipos de implementación que se deben incluir en la evaluación. El control genera un resultado `FAILED` si un sistema de archivos no está configurado para usar un tipo de implementación especificado en la lista.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Este control comprueba si un sistema de archivos de Amazon FSx for NetApp ONTAP está configurado para utilizar un tipo de despliegue de varias zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar un tipo de implementación Multi-AZ. Puede especificar opcionalmente una lista de tipos de implementación para incluir en la evaluación.

*Amazon FSx for NetApp ONTAP admite varios tipos de implementación para sistemas de archivos: *Single-AZ 1, Single-AZ* *2, Multi-AZ* *1 y Multi-AZ* 2.* Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Recomendamos usar un tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción, debido al modelo de alta disponibilidad y durabilidad que proporcionan los tipos de implementación Multi-AZ. Los sistemas de archivos Multi-AZ admiten todas las características de disponibilidad y durabilidad de los sistemas de archivos Single-AZ. Además, están diseñados para proporcionar disponibilidad continua a los datos aún cuando una zona de disponibilidad (AZ) no esté disponible.

### Corrección
<a name="fsx-4-remediation"></a>

No puedes cambiar el tipo de implementación de un sistema de archivos Amazon FSx for NetApp ONTAP existente. Sin embargo, puede realizar una copia de seguridad de los datos y luego restaurarlos en un nuevo sistema de archivos que use un tipo de implementación Multi-AZ.

Para obtener información sobre los tipos y opciones de despliegue de los sistemas de archivos de ONTAP, consulte [Disponibilidad, durabilidad y opciones de despliegue y](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestión de sistemas de archivos](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) en la Guía del usuario *FSx de ONTAP*. FSx 

## [FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-5"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:** `deploymentTypes: MULTI_AZ_1` (no personalizables)

Este control comprueba si un sistema de archivos del servidor de archivos de Amazon FSx para Windows está configurado para utilizar el tipo de despliegue de múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.

Amazon FSx para Windows File Server admite dos tipos de implementación para sistemas de archivos: *Single-AZ y *Multi-AZ**. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Single-AZ se componen de una única instancia del servidor de archivos de Windows y un conjunto de volúmenes de almacenamiento dentro de una única zona de disponibilidad (AZ). Los sistemas de archivos Multi-AZ están compuestos por un clúster de servidores de archivos de Windows con alta disponibilidad distribuido en dos zonas de disponibilidad. Recomendamos usar el tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.

### Corrección
<a name="fsx-5-remediation"></a>

Puede configurar un sistema de archivos de Amazon FSx para Windows File Server para que utilice el tipo de despliegue Multi-AZ al crear el sistema de archivos. No puede cambiar el tipo de implementación de un sistema de archivos existente FSx para Windows File Server.

Para obtener información sobre los tipos y opciones de implementación de los sistemas de archivos de Windows File Server, consulte [Disponibilidad y durabilidad: sistemas de archivos Single-AZ y Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) y [Introducción a Amazon FSx para Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) en la Guía del *usuario de Amazon FSx para Windows File Server*. FSx 

# Controles CSPM de Security Hub para Global Accelerator
<a name="globalaccelerator-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Global Accelerator servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
<a name="globalaccelerator-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config regla:** `tagged-globalaccelerator-accelerator` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Global Accelerator acelerador tiene etiquetas con las teclas específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el acelerador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el acelerador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="globalaccelerator-1-remediation"></a>

Para agregar etiquetas a un acelerador global de Global Accelerator, consulte [Etiquetado en AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) en la *Guía para desarrolladores de AWS Global Accelerator *.

# Controles CSPM de Security Hub para AWS Glue
<a name="glue-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Glue servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Glue.1] los AWS Glue trabajos deben estar etiquetados
<a name="glue-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Glue::Job`

**AWS Config regla:** `tagged-glue-job` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS Glue trabajo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="glue-1-remediation"></a>

Para añadir etiquetas a un AWS Glue trabajo, consulte las [AWS etiquetas AWS Glue en](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) la Guía del *AWS Glue usuario*.

## [Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
<a name="glue-3"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Glue::MLTransform`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** no

Este control comprueba si una transformación AWS Glue de aprendizaje automático está cifrada en reposo. El control falla si la transformación de machine learning no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="glue-3-remediation"></a>

Para configurar el cifrado para las transformaciones de aprendizaje AWS Glue automático, consulte [Trabajar con transformaciones de aprendizaje automático](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) en la *Guía del AWS Glue usuario*.

## [Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
<a name="glue-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), niST.800-53.r5 CM-2, niST.800-53.r5 SI-2, niST.800-53.r5 SI-2 (2), niST.800-53.r5 SI-2 (4), NIst.800-53.r5 SI-2 (5)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::Glue::Job`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `minimumSupportedGlueVersion`: `3.0` (no personalizables)

Este control AWS Glue comprueba si un trabajo de Spark está configurado para ejecutarse en una AWS Glue versión compatible de. El control falla si el trabajo de Spark está configurado para ejecutarse en una versión anterior a la versión mínima compatible. AWS Glue 

**nota**  
Este control también genera la `FAILED` búsqueda de un AWS Glue trabajo de Spark si la propiedad AWS Glue version (`GlueVersion`) no existe o es nula en el elemento de configuración (CI) del trabajo. En tales casos, el resultado incluye la anotación siguiente: `GlueVersion is null or missing in glueetl job configuration`. Para resolver este tipo de resultado `FAILED`, agregue la propiedad `GlueVersion` a la configuración del trabajo. Para obtener una lista de versiones compatibles y entornos de tiempo de ejecución, consulte [Versiones de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) en la *Guía del usuario de AWS Glue *.

Ejecutar trabajos de AWS Glue Spark en las versiones actuales de AWS Glue puede optimizar el rendimiento, la seguridad y el acceso a las funciones más recientes de AWS Glue. También puede ayudar a proteger contra vulnerabilidades de seguridad. Por ejemplo, se puede publicar una versión nueva para ofrecer actualizaciones de seguridad, corregir problemas o incorporar características nuevas.

### Corrección
<a name="glue-4-remediation"></a>

Para obtener información sobre cómo migrar un trabajo de Spark a una versión compatible de AWS Glue, consulte [Migración de trabajos AWS Glue de Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) en la Guía del *AWS Glue usuario*.

# Controles CSPM de Security Hub para Amazon GuardDuty
<a name="guardduty-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el GuardDuty servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty debería estar activado
<a name="guardduty-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 Nist.800-53.r5 SI-20, NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SC-5 Nist.800-53.r5 SI-4, Nist.800-53.r5 R5 SI-4 NIST.800-53.r5 SC-5 (1), NiSt.800-53.r5 SI-4 (13), NiSt.800-53.r5 SI-4 (2), NiSt.800-53.r5 SI-4 (22), NiSt.800-53.r5 SI-4 (25), NISt.800-53.r5 SI-4 (4), NiSt.800-53.r5 SI-4 (5), NiSt.800-171.r2 3.4.2, NiSt.800-171.r2 3.14.6, NiSt.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 NIST.800-53.r5 SA-8 NIST.800-53.r5 SC-5 , PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Amazon GuardDuty está activado en tu GuardDuty cuenta y región.

Se recomienda encarecidamente que lo habilites GuardDuty en todas las AWS regiones compatibles. Si lo hace, podrá GuardDuty obtener información sobre actividades no autorizadas o inusuales, incluso en las regiones que no utilice activamente. Esto también permite monitorear CloudTrail eventos GuardDuty a nivel mundial Servicios de AWS , como la IAM.

### Corrección
<a name="guardduty-1-remediation"></a>

Para activarlo GuardDuty, consulta [Cómo empezar con GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.2] GuardDuty los filtros deben estar etiquetados
<a name="guardduty-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::Filter`

**AWS Config regla:** `tagged-guardduty-filter` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un GuardDuty filtro de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-2-remediation"></a>

Para añadir etiquetas a un GuardDuty filtro, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.3] GuardDuty IPSets debe estar etiquetado
<a name="guardduty-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::IPSet`

**AWS Config regla:** `tagged-guardduty-ipset` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si Amazon GuardDuty IPSet tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro`requiredTagKeys`. Si `requiredTagKeys` no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si IPSet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-3-remediation"></a>

Para añadir etiquetas a un GuardDuty IPSet, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.4] GuardDuty los detectores deben estar etiquetados
<a name="guardduty-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**AWS Config regla:** `tagged-guardduty-detector` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un GuardDuty detector de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-4-remediation"></a>

Para añadir etiquetas a un GuardDuty detector, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
<a name="guardduty-5"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la supervisión del registro de auditoría de GuardDuty EKS está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión del registro de auditoría de GuardDuty EKS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la monitorización de registros de auditoría de EKS.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de supervisión del registro de auditoría de EKS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización del registro de auditoría de GuardDuty EKS. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty La monitorización de registros de auditoría de EKS le ayuda a detectar actividades potencialmente sospechosas en sus clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). La supervisión de registros de auditoría de EKS utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control.

### Corrección
<a name="guardduty-5-remediation"></a>

Para habilitar la supervisión del registro de auditoría de GuardDuty [EKS, consulte la supervisión del registro de auditoría](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) de EKS en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
<a name="guardduty-6"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la Protección GuardDuty Lambda está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty Lambda Protection está deshabilitada en la cuenta. En un entorno de varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la Protección Lambda.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función Lambda Protection para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la Protección GuardDuty Lambda. Para recibir una confirmación`PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty Lambda Protection le ayuda a identificar posibles amenazas de seguridad cuando se invoca una AWS Lambda función. Después de activar Lambda Protection, GuardDuty comienza a monitorear los registros de actividad de la red Lambda asociados a las funciones de Lambda en su. Cuenta de AWS Cuando se invoca una función Lambda e GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malicioso en la función Lambda, GuardDuty genera una detección. 

### Corrección
<a name="guardduty-6-remediation"></a>

*Para activar GuardDuty Lambda Protection, consulte Configuración de [Lambda Protection en la Guía del usuario](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) de Amazon. GuardDuty *

## [GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
<a name="guardduty-7"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la monitorización del tiempo de ejecución de GuardDuty EKS con administración automática de agentes está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty EKS Runtime Monitoring con administración automática de agentes está deshabilitado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada EKS Runtime Monitoring con la administración automática de agentes habilitada.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función EKS Runtime Monitoring, que permite gestionar de forma automática los agentes de las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización de tiempo de ejecución de GuardDuty EKS. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

EKS Protection en Amazon GuardDuty ofrece cobertura de detección de amenazas para ayudarle a proteger los clústeres de Amazon EKS en su AWS entorno. La supervisión en tiempo de ejecución de EKS utiliza los eventos de nivel de sistema operativo para ayudarlo a detectar posibles amenazas en los nodos y contenedores de EKS de sus clústeres de EKS. 

### Corrección
<a name="guardduty-7-remediation"></a>

Para habilitar EKS Runtime Monitoring con la administración automatizada de agentes, consulte [Habilitar GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
<a name="guardduty-8"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección contra GuardDuty malware está habilitada. En el caso de una cuenta independiente, el control falla si la protección contra GuardDuty malware está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección contra malware.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección contra malware para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra GuardDuty malware. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty Malware Protection for EC2 le ayuda a detectar la posible presencia de malware escaneando los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntos a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a las cargas de trabajo de contenedores. La protección contra malware ofrece opciones de análisis en las que puede decidir si desea incluir o excluir instancias y cargas de trabajo de contenedores específicas de EC2 en el momento del análisis. También ofrece la opción de conservar en sus cuentas las instantáneas de los volúmenes de EBS adjuntos a las instancias de EC2 o a las cargas de trabajo de los contenedores. GuardDuty Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware. 

### Corrección
<a name="guardduty-8-remediation"></a>

Para activar la protección contra GuardDuty malware para EC2, consulte [Configuración del análisis GuardDuty de malware iniciado](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) en la Guía * GuardDuty del usuario de Amazon*.

## [GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
<a name="guardduty-9"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección GuardDuty RDS está habilitada. En el caso de una cuenta independiente, el control falla si la protección de GuardDuty RDS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección RDS.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función de protección RDS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty RDS. Para recibir una confirmación`PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

RDS Protection GuardDuty analiza y perfila la actividad de inicio de sesión de RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora MySQL Edition y Aurora compatible con PostgreSQL). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para su base de datos, GuardDuty genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida. 

### Corrección
<a name="guardduty-9-remediation"></a>

Para activar la protección de GuardDuty RDS, consulte Protección de [GuardDuty RDS en la](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) Guía * GuardDuty del usuario de Amazon*.

## [GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
<a name="guardduty-10"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección GuardDuty S3 está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty S3 Protection está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección S3.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección S3 para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty S3. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

S3 Protection permite supervisar las operaciones de las API GuardDuty a nivel de objeto para identificar posibles riesgos de seguridad para los datos contenidos en sus depósitos de Amazon Simple Storage Service (Amazon S3). GuardDuty monitorea las amenazas contra sus recursos de S3 mediante el análisis de los eventos AWS CloudTrail de administración y los eventos de datos de CloudTrail S3. 

### Corrección
<a name="guardduty-10-remediation"></a>

Para activar la protección GuardDuty S3, consulte [Amazon S3 Protection en Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
<a name="guardduty-11"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la monitorización del tiempo de ejecución está habilitada en Amazon GuardDuty. En el caso de una cuenta independiente, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta. En un entorno con varias cuentas, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta de GuardDuty administrador delegado y para todas las cuentas de los miembros.

En un entorno con varias cuentas, solo el GuardDuty administrador delegado puede activar o desactivar GuardDuty Runtime Monitoring para las cuentas de su organización. Además, solo el GuardDuty administrador puede configurar y administrar los agentes de seguridad que GuardDuty utiliza para la supervisión en tiempo de ejecución de AWS las cargas de trabajo y los recursos de las cuentas de la organización. GuardDuty las cuentas de los miembros no pueden activar, configurar ni deshabilitar Runtime Monitoring para sus propias cuentas.

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales, como los clústeres de Amazon EKS y las instancias de Amazon EC2.

### Corrección
<a name="guardduty-11-remediation"></a>

Para obtener información sobre cómo configurar y habilitar GuardDuty Runtime Monitoring, consulte [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) y [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
<a name="guardduty-12"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está activado para la supervisión en tiempo de ejecución de los clústeres de Amazon ECS AWS Fargate. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.

En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar la supervisión en tiempo de ejecución de los recursos de ECS-Fargate para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera `FAILED` resultados si GuardDuty se suspende para una cuenta de miembro y la supervisión del tiempo de ejecución de los recursos de ECS-Fargate está deshabilitada para la cuenta de miembro. Para recibir una confirmación`PASSED`, el GuardDuty administrador debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye los clústeres de Amazon ECS en AWS Fargate.

### Corrección
<a name="guardduty-12-remediation"></a>

Para habilitar y administrar el agente de seguridad para la supervisión en tiempo de GuardDuty ejecución de los recursos de ECS-Fargate, debe usarlo directamente. GuardDuty No puede habilitarlo ni administrarlo manualmente para los recursos de ECS Fargate. Para obtener información sobre cómo habilitar y administrar el agente de seguridad, consulte [Requisitos previos para el soporte AWS Fargate (solo para Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) y [Administración del agente de seguridad automatizado para AWS Fargate (solo Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada
<a name="guardduty-13"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está habilitado para la supervisión en tiempo de ejecución de las instancias de Amazon EC2. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.

En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar Runtime Monitoring de las instancias de Amazon EC2 para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera `FAILED` resultados si GuardDuty se suspende en una cuenta de miembro y se desactiva la supervisión del tiempo de ejecución de las instancias de EC2 para la cuenta de miembro. Para recibir una confirmación`PASSED`, el GuardDuty administrador debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye instancias de Amazon EC2.

### Corrección
<a name="guardduty-13-remediation"></a>

*Para obtener información sobre la configuración y la administración del agente de seguridad automatizado para la supervisión en tiempo de GuardDuty ejecución de las instancias EC2, consulte [Requisitos previos para el soporte de instancias de Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [y Habilitación del agente de seguridad automatizado para instancias de Amazon EC2 en la Guía del usuario de Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *

# Controles CSPM de Security Hub para AWS Identity and Access Management
<a name="iam-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Identity and Access Management (IAM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”
<a name="iam-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NISt.800-171.r2 NIST.800-53.r5 AC-6 3.1.4, PCI DSS NIST.800-53.r5 AC-6 v3.2.1/7.2.1 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludePermissionBoundaryPolicy: true` (no personalizable)

Este control comprueba si la versión predeterminada de las políticas de IAM (también conocidas como políticas administradas por el cliente) tiene acceso de administrador con una instrucción que tenga `"Effect": "Allow"` con `"Action": "*"` en `"Resource": "*"`. El control falla si tiene políticas de IAM con una declaración de este tipo.

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No AWS comprueba las políticas integradas y gestionadas.

Las políticas de IAM definen un conjunto de privilegios concedidos a usuarios, grupos o roles. Siguiendo los consejos de seguridad estándar, se AWS recomienda conceder los privilegios mínimos, es decir, conceder únicamente los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe quitar las políticas de IAM que tienen una instrucción con `"Effect": "Allow" ` y `"Action": "*"` en `"Resource": "*"`.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-1-remediation"></a>

Para modificar sus políticas de IAM de manera que no permitan todos los privilegios administrativos “\$1”, consulte [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *Guía del usuario de IAM*.

## [IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
<a name="iam-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (3) NIST.800-53.r5 AC-2, NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NISt.800-171.r2 3.1.2, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.3.9 800-171.r2 3.13.3, PCI AWS DSS v3.2.1/7.2.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si sus usuarios de IAM tienen políticas asociadas. El control falla si los usuarios de IAM tienen políticas asociadas. Los usuarios de IAM deben heredar los permisos de los grupos de IAM o asumir un rol.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso a AWS los recursos. Las políticas de IAM conceden privilegios a los usuarios, grupos o roles. Recomendamos aplicar políticas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios. 

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede deshabilitar este control en todas las regiones salvo en la región en la que haya registrado los recursos globales.

### Corrección
<a name="iam-2-remediation"></a>

Para resolver este problema, [cree un grupo de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) y asocie la política al grupo. Luego, [agregue los usuarios al grupo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

## [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
<a name="iam-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media 

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `maxAccessKeyAge`: `90` (no personalizable)

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la mejor práctica recomendada es crear una o más funciones de IAM o utilizar la [federación mediante la federación](https://aws.amazon.com/identity/federation/) AWS IAM Identity Center. Puede utilizar estos métodos para permitir que sus usuarios accedan a Consola de administración de AWS y AWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio o plan central existente y prevén que van a necesitar más que el límite actual de usuarios de IAM. Las aplicaciones que se ejecutan fuera de un AWS entorno necesitan claves de acceso para acceder a AWS los recursos mediante programación.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan internamente AWS, la mejor práctica es utilizar las funciones de IAM. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre cómo proteger las claves de acceso y la cuenta, consulte [las prácticas recomendadas para administrar las claves de AWS acceso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) en el. *Referencia general de AWS* Consulte también la entrada del blog [Pautas para protegerse Cuenta de AWS mientras utiliza el acceso programático](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Si ya tiene una clave de acceso, Security Hub CSPM recomienda rotar las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso. 

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Los usuarios necesitan sus propias claves de acceso para realizar llamadas programáticas AWS desde Tools for Windows PowerShell o llamadas HTTP directas mediante las operaciones de la API individuales. AWS CLI AWS SDKs Servicios de AWS

Si su organización utiliza AWS IAM Identity Center (IAM Identity Center), sus usuarios pueden iniciar sesión en Active Directory, en un directorio integrado del IAM Identity Center o en [otro proveedor de identidad (IdP) conectado al IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Identity Center. A continuación, pueden asignarse a una función de IAM que les permita ejecutar AWS CLI comandos o realizar operaciones de AWS API sin necesidad de claves de acceso. Para obtener más información, consulte [Configuración del AWS CLI uso AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) en la Guía del *AWS Command Line Interface usuario*.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-3-remediation"></a>

Para rotar las claves de acceso que tienen más de 90 días de antigüedad, consulte [Rotación de las claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) en la *Guía del usuario de IAM*. Siga las instrucciones para cualquier usuario cuya **clave de acceso** tenga más de 90 días de antigüedad.

## [IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
<a name="iam-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está presente la clave de acceso del usuario raíz. 

El usuario root es el usuario con más privilegios de un Cuenta de AWS. AWS las claves de acceso proporcionan acceso programático a una cuenta determinada.

Security Hub CSPM recomienda eliminar todas las claves de acceso asociadas al usuario root. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios. 

### Corrección
<a name="iam-4-remediation"></a>

Para eliminar la clave de acceso del usuario raíz, consulte [Eliminar las claves de acceso del usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) en la *Guía del usuario de IAM*. Para eliminar las claves de acceso del usuario raíz de una entrada Cuenta de AWS AWS GovCloud (US), consulte [Eliminar las claves de acceso del usuario raíz de mi AWS GovCloud (US) cuenta](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) en la Guía del *AWS GovCloud (US) usuario*.

## [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola
<a name="iam-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-2

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la autenticación AWS multifactor (MFA) está habilitada para todos los usuarios de IAM que utilizan una contraseña de consola.

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en un AWS sitio web, se le solicita su nombre de usuario y contraseña. Además, se les solicita un código de autenticación desde su dispositivo AWS MFA.

Recomendamos que habilite la MFA para todas las cuentas que tengan una contraseña de consola. MFA está diseñado para proporcionar una mayor seguridad para acceder a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-5-remediation"></a>

Para agregar MFA a los usuarios de IAM, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.

## [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
<a name="iam-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Cuenta de AWS está habilitado para usar un dispositivo de autenticación multifactor (MFA) de hardware para iniciar sesión con credenciales de usuario root. El control falla si no está habilitado MFA de hardware o si se permiten dispositivos MFA virtuales para iniciar sesión con las credenciales del usuario raíz.

Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Recomendamos que use un dispositivo MFA virtual solo mientras espera la aprobación de compra o la llegada del dispositivo de hardware. Para obtener más información, consulte [Asignación de un dispositivo MFA virtual (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) en la *Guía del usuario de IAM*.

**nota**  
Security Hub CSPM evalúa este control en función de la presencia de credenciales de usuario raíz (perfil de inicio de sesión) en un. Cuenta de AWS El control arroja resultados `PASSED` en los siguientes casos:  
Las credenciales del usuario raíz están presentes en la cuenta y MFA de hardware está habilitado para el usuario raíz.
Las credenciales del usuario raíz no están presentes en la cuenta.
El control genera un resultado de `FAILED` si las credenciales del usuario raíz están presentes en la cuenta y MFA de hardware no está habilitado para el usuario raíz.

### Corrección
<a name="iam-6-remediation"></a>

Para obtener información sobre cómo habilitar MFA de hardware para el usuario raíz, consulte [Autenticación multifactor para una Usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) en la *Guía del usuario de IAM*.

## [IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
<a name="iam-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-5 (1), NiSt.800-171.r2 3.5.2, NiSt.800-171.r2 3.5.7, NiSt.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.10.1, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Requiere que al menos haya un carácter en mayúscula en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Requiere que al menos haya un carácter en minúscula en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireSymbols`  |  Requiere que al menos haya un símbolo en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireNumbers`  |  Requiere que al menos haya un número en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Cantidad mínima de caracteres en la contraseña  |  Entero  |  De `8` a `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Cantidad de rotaciones de contraseñas para poder reutilizar una contraseña anterior  |  Entero  |  De `12` a `24`  |  Sin valor predeterminado  | 
|  `MaxPasswordAge`  |  Cantidad de días antes de que la contraseña expire  |  Entero  |  De `1` a `90`  |  Sin valor predeterminado  | 

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones seguras. Se producirá un error en el control si la política de contraseñas no utiliza configuraciones seguras. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza los valores predeterminados mencionados en la tabla anterior. `MaxPasswordAge`Los parámetros `PasswordReusePrevention` y no tienen un valor predeterminado, por lo que si los excluye, Security Hub CSPM ignora el número de rotaciones de contraseñas y la antigüedad de la contraseña al evaluar este control.

Para acceder a Consola de administración de AWS, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, Security Hub CSPM recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en Consola de administración de AWS. Utilice AWS IAM Identity Center (IAM Identity Center) para crear o federar el usuario y, a continuación, asuma una función de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte [Proveedores de identidad y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) en la *Guía del usuario de IAM*. Para obtener más información sobre IAM Identity Center, consulte la [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Si necesita utilizar usuarios de IAM, Security Hub CSPM recomienda que exija la creación de contraseñas de usuario seguras. Puede establecer una política de contraseñas Cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas. Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

### Corrección
<a name="iam-7-remediation"></a>

Para actualizar la política de contraseñas, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*.

## [IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
<a name="iam-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1), (3) NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media 

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `maxCredentialUsageAge`: `90` (no personalizable)

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

Los AWS usuarios de IAM pueden acceder a los recursos mediante distintos tipos de credenciales, como contraseñas o claves de acceso. 

Security Hub CSPM recomienda eliminar o desactivar todas las credenciales que no se hayan utilizado durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-8-remediation"></a>

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la **clave de acceso, la antigüedad** de la **Contraseña** y la **Última actividad**. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los [informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en formato `.csv` desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) en la *Guía del usuario de IAM*.

## [IAM.9] La MFA debe estar habilitada para el usuario raíz
<a name="iam-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS AWS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la autenticación multifactor (MFA) está habilitada para que el usuario raíz de IAM de Cuenta de AWS an inicie sesión en. Consola de administración de AWS El control falla si MFA no está habilitado para el usuario raíz de la cuenta.

El usuario raíz de IAM de an Cuenta de AWS tiene acceso completo a todos los servicios y recursos de la cuenta. Si la MFA está habilitada, el usuario debe introducir un nombre de usuario, una contraseña y un código de autenticación desde su dispositivo de AWS MFA para poder iniciar sesión en. Consola de administración de AWS MFA aporta una capa adicional de protección sobre el nombre de usuario y la contraseña.

Este control genera un resultado `PASSED` en los siguientes casos:
+ Las credenciales del usuario raíz están presentes en la cuenta y MFA está habilitada para el usuario raíz.
+ Las credenciales del usuario raíz no están presentes en la cuenta.

El control genera resultados `FAILED` si las credenciales del usuario raíz están presentes en la cuenta y MFA no está habilitada para el usuario raíz.

### Corrección
<a name="iam-9-remediation"></a>

*Para obtener información sobre cómo habilitar la MFA para el usuario raíz de un dispositivo Cuenta de AWS, consulte [Autenticación multifactorial Usuario raíz de la cuenta de AWS en la Guía del](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) usuario.AWS Identity and Access Management *

## [IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
<a name="iam-10"></a>

**Requisitos relacionados:** NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones mínimas de PCI DSS.
+ `RequireUppercaseCharacters`: requiere que al menos haya un carácter en mayúscula en la contraseña. (Valor predeterminado = `true`)
+ `RequireLowercaseCharacters`: requiere que al menos haya un carácter en minúscula en la contraseña. (Valor predeterminado = `true`)
+ `RequireNumbers`: requiere que al menos haya un número en la contraseña. (Valor predeterminado = `true`)
+ `MinimumPasswordLength`: longitud mínima de la contraseña. (Predeterminado = 7 o más)
+ `PasswordReusePrevention`: número de contraseñas antes de que se permita reutilizarlas. (Valor predeterminado = 4)
+ `MaxPasswordAge`: número de días antes del vencimiento de la contraseña. (Valor predeterminado = 90)

**nota**  
El 30 de mayo de 2025, Security Hub CSPM eliminó este control del estándar PCI DSS v4.0.1. La versión 4.0.1 de PCI DSS ahora requiere que las contraseñas tengan un mínimo de 8 caracteres. Este control aún se aplica al estándar PCI DSS v3.2.1, el cual tiene requisitos distintos para contraseñas.  
Para evaluar las políticas de contraseñas de cuentas conforme a los requisitos de PCI DSS v4.0.1, puede usar el control [IAM.7](#iam-7). Este control exige que las contraseñas tengan un mínimo de 8 caracteres. También admite valores personalizados para la longitud de las contraseñas y otros parámetros. El control IAM.7 forma parte del estándar PCI DSS v4.0.1 en el CSPM de Security Hub.

### Corrección
<a name="iam-10-remediation"></a>

Para actualizar su política de contraseñas y usar la configuración recomendada, consulte [Establecer una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*.

## [IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
<a name="iam-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.5, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-11-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para lograr una **Contraseña fuerte**, seleccione **Se requiere al menos una letra mayúscula del alfabeto latino (A-Z)**.

## [IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
<a name="iam-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.6, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres. CIS recomienda que la política de contraseñas exija al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-12-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para lograr una **Contraseña fuerte**, seleccione **Se requiere al menos una letra minúscula del alfabeto latino (A-Z)**.

## [IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
<a name="iam-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.7, NISt.800-171.r2 3.5.7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un símbolo. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-13-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Seguridad de la contraseña**, seleccione **Requerir al menos un carácter no alfanumérico**.

## [IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
<a name="iam-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.8, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un número. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-14-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Seguridad de la contraseña**, seleccione **Requerir al menos un número**.

## [IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
<a name="iam-15"></a>

**Requisitos relacionados: CIS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7** AWS AWS AWS AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas tengan como mínimo una determinada longitud.

CIS recomienda que la política de contraseñas exija al menos una longitud de contraseña de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-15-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Longitud mínima de la contraseña**, introduzca **14** o un número mayor.

## [IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
<a name="iam-16"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS AWS Foundations Benchmark v3.0.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NISt.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

Las políticas de contraseñas de IAM pueden evitar la reutilización de una contraseña determinada por el mismo usuario.

CIS recomienda que la política de contraseñas evite la reutilización de contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-16-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para **Impedir la reutilización de la contraseña**, introduzca **24**.

## [IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos
<a name="iam-17"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas de IAM pueden requerir que las contraseñas se roten o que caduquen al cabo de un determinado número de días.

CIS recomienda que la política de contraseñas haga caducar las contraseñas al cabo de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:
+ Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.
+ Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.
+ Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.
+ Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

### Corrección
<a name="iam-17-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para **Activar la caducidad de la contraseña**, introduzca **90** o un número menor.

## [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support
<a name="iam-18"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI DSS AWS v4.0.1/12.10.3 AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (no personalizable)
+ `policyUsageType`: `ANY` (no personalizable)

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta a incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un rol de IAM para permitir que los usuarios autorizados administren incidentes con AWS Support. Al implementar los privilegios mínimos para el control de acceso, una función de IAM requerirá una política de IAM adecuada que permita el acceso al centro de soporte con el fin de gestionar los incidentes. Soporte

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-18-remediation"></a>

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de Soporte .

**Para crear el rol que se usará para el acceso Soporte**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de IAM, elija **Roles** y, a continuación, **Crear rol**.

1. En **Tipo de rol**, elija **Otro Cuenta de AWS**.

1. En el **campo ID de cuenta**, introduzca el Cuenta de AWS ID del usuario Cuenta de AWS al que desea conceder acceso a sus recursos.

   Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.
**nota**  
El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción `sts:AssumeRole`. En esa política, el recurso debe ser el ARN del rol.

1. Elija **Siguiente: permisos**.

1. Busque la política administrada `AWSSupportAccess`.

1. Seleccione la casilla de verificación de la política administrada `AWSSupportAccess`.

1. Elija **Siguiente: etiquetas**.

1. (Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

   Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: Revisar**.

1. Escriba un nombre para el rol en **Nombre de rol**.

   Los nombres de los roles deben ser únicos dentro de su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Revise el rol y, a continuación, elija **Create role (Crear rol)**.

## [IAM.19] MFA se debe habilitar para todos los usuarios de IAM
<a name="iam-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NiSt.800-171.r2 3.3.8, NiSt.800-171.r2 3.5.3, NiSt.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los usuarios de IAM tienen habilitada la autenticación multifactor (MFA).

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-19-remediation"></a>

Para añadir MFA a los usuarios de IAM, consulte [Habilitar dispositivos de MFA para los usuarios AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) en la *Guía del usuario de IAM*.

## [IAM.20] Evite el uso del usuario raíz
<a name="iam-20"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla:** `use-of-root-account-test` (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si hay restricciones en el uso del usuario root. Cuenta de AWS El control evalúa los siguientes recursos:
+ Temas de Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail senderos
+ Filtros métricos asociados a los CloudTrail senderos
+  CloudWatch Alarmas de Amazon basadas en los filtros

Esta comprobación da como resultado `FAILED` si una o varias de las siguientes afirmaciones son verdaderas:
+ No hay CloudTrail rastros en la cuenta.
+ Una CloudTrail ruta está habilitada, pero no configurada con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura.
+ Una CloudTrail ruta está habilitada, pero no está asociada a un grupo de CloudWatch registros.
+ No se utiliza el filtro métrico exacto prescrito por el Center for Internet Security (CIS). El filtro métrico prescrito es `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ No existe ninguna CloudWatch alarma basada en el filtro de métricas en la cuenta.
+ CloudWatch las alarmas configuradas para enviar notificaciones al tema de SNS asociado no se activan en función del estado de la alarma.
+ El tema de SNS no cumple con las [restricciones para enviar un mensaje a un tema de SNS](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html).
+ El tema de SNS no tiene al menos un suscriptor.

Esta comprobación da como resultado `NO_DATA` si una o más de las siguientes afirmaciones son verdaderas:
+ Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el registro.
+ Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.

Esta comprobación da como resultado `WARNING` si una o más de las siguientes afirmaciones son verdaderas:
+ La cuenta corriente no es propietaria del tema de SNS al que se hace referencia en la alarma. CloudWatch 
+ La cuenta actual no tiene acceso al tema de SNS al invocar la API de SNS de `ListSubscriptionsByTopic`.

**nota**  
Recomendamos utilizar los registros de la organización para registrar los eventos de varias cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de CloudTrail administrador delegado. El uso de un registro de la organización da como resultado un estado de control de NO\$1DATA para los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para [ realizar tareas de administración de cuentas y servicios](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique políticas de IAM directamente a los grupos y roles, pero no a los usuarios. Para ver las instrucciones sobre cómo configurar un administrador para el uso diario, consulte [Creación del primer grupo y usuario administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía de usuario de IAM*.

### Corrección
<a name="iam-20-remediation"></a>

Los pasos para solucionar este problema incluyen la configuración de un tema de Amazon SNS, CloudTrail una ruta, un filtro de métricas y una alarma para el filtro de métricas.

**Para crear un tema de Amazon SNS**

1. [Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Cree un tema de Amazon SNS que reciba todas las alarmas de CIS.

   Cree al menos un suscriptor al tema. Para obtener más información, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

A continuación, configure una opción activa CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1).

Anote el nombre del grupo de CloudWatch registros que asocie a la CloudTrail ruta. Cree el filtro de métricas en el grupo de registro.

Por último, cree el filtro métrico y la alarma.

**Para crear un filtro de métricas y alarma**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Grupos de registro**.

1. Seleccione la casilla de verificación del grupo de CloudWatch registros asociado a la CloudTrail ruta que creó.

1. En **Acciones**, elija **Crear filtro de métricas**.

1. En **Definir patrón**, haga lo siguiente:

   1. Copie el siguiente patrón y, a continuación, péguelo en el campo **Filter Pattern (Patrón de filtros)**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Elija **Siguiente**.

1. En **Asignar métrica**, haga lo siguiente:

   1. En **Nombre de filtro**, escriba un nombre para el filtro de métricas.

   1. En **Espacio de nombres de métrica**, escriba **LogMetrics**.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

   1. Para **Nombre de métrica**, ingrese un nombre para la métrica. Recuerde el nombre de la métrica. Deberá seleccionar la métrica al crear la alarma.

   1. En **Metric Value (Valor de métrica)**, ingrese **1**.

   1. Elija **Siguiente**.

1. En **Revisar y crear**, compruebe la información que proporcionó para el nuevo filtro de métricas. A continuación, elija **Crear filtro de métrica**.

1. En el panel de navegación, elija **Grupos de registros** y, a continuación, elija el filtro que creó en **Filtros métricos**.

1. Seleccione la casilla de verificación del filtro. Elija **Crear alarma**.

1. En **Especificar métrica y condiciones**, realice lo siguiente:

   1. En **Condiciones**, vaya a **Tipo de umbral** y escriba **Estático**.

   1. En **Definir la condición de alarma**, elija **Mayor/Igual**.

   1. En **Definir el valor umbral**, introduzca **1**.

   1. Elija **Siguiente**.

1. En **Configuración de acciones**, haga lo siguiente:

   1. Para **Desencadenador de estado de alarma**, elija **En alarma**.

   1. En **Select an SNS topic**, elija **Select an existing SNS topic**.

   1. En **Enviar notificación a**, introduzca el nombre del tema de SNS que creó en el procedimiento anterior.

   1. Elija **Siguiente**.

1. En **Añadir una descripción**, escriba un **nombre** y la **descripción** de la alarma, como **CIS-1.1-RootAccountUsage**. A continuación, elija **Siguiente**.

1. En **Vista previa y creación**, revise la configuración de la alarma. A continuación, elija **Create Alarm (Crear alarma)**.

## [IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios
<a name="iam-21"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NISt.800-171.r2 3.1.1, NIST.800-53.r5 AC-6 NISt.800-171.r2 3.1.2, NISt.800-171.r2 3.1.5, NISt.800-171.r2 3.1.7, NISt.800-171.r2 3.3.8, NISt.800-171.r2 3.3.8, NISt.800-171.r2 3.3.9, NISt.800.-171.r2 3.13.3, NiSt.800-171.r2 3.13.4

**Categoría:** Detectar > Gestión de acceso seguro 

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludePermissionBoundaryPolicy`: `True` (no personalizable)

Este control comprueba si las políticas de IAM basadas en la identidad que cree incluyen instrucciones de permiso que utilizan el comodín \$1 para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye `"Effect": "Allow"` con `"Action": "Service:*"`. 

Por ejemplo, la siguiente afirmación de una política da como resultado una conclusión fallida.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

El control también falla si se usa `"Effect": "Allow"` con `"NotAction": "service:*"`. En ese caso, el `NotAction` elemento proporciona acceso a todas las acciones de un Servicio de AWS, excepto a las acciones especificadas en`NotAction`.

Este control solo se aplica a las políticas de IAM administradas por el cliente. No se aplica a las políticas de IAM gestionadas por AWS.

Al asignar permisos a Servicios de AWS, es importante incluir las acciones de IAM permitidas en sus políticas de IAM. Debe restringir las acciones de IAM solo a las acciones que sean necesarias. Esto le ayuda a proporcionar permisos con privilegios mínimos. Las políticas demasiado permisivas pueden provocar una escalada de privilegios si las políticas están vinculadas a un director de IAM que podría no requerir el permiso.

En algunos casos, es posible que desee permitir acciones de IAM que tienen un prefijo similar, como `DescribeFlowLogs` y `DescribeAvailabilityZones`. En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, `ec2:Describe*`.

Este control se activa si utiliza una acción de IAM con un prefijo con un comodín con sufijo. Por ejemplo, la siguiente declaración de una política da como resultado que se aprueba una conclusión.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Si agrupa las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de las políticas de IAM.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-21-remediation"></a>

Para solucionar este problema, actualice sus políticas de IAM para que no permitan todos los privilegios administrativos “\$1”. Para conocer los detalles acerca de cómo editar una política de IAM, consulte [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *Guía del usuario de IAM*.

## [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días
<a name="iam-22"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 3.1.2 AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 45 días o más. Para ello, comprueba si el `maxCredentialUsageAge` parámetro de la AWS Config regla es igual o superior a 45.

Los usuarios pueden acceder a AWS los recursos mediante diferentes tipos de credenciales, como contraseñas o claves de acceso.

CIS recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 45 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La AWS Config regla para este control utiliza las operaciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)y la [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API, que solo se actualizan cada cuatro horas. Los cambios en los usuarios de IAM pueden tardar hasta cuatro horas en ser visibles para este control.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, puede habilitar el registro de los recursos globales en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-22-remediation"></a>

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la **clave de acceso, la antigüedad** de la **Contraseña** y la **Última actividad**. Si el valor en cualquiera de estas columnas es superior a 45 días, desactive las credenciales de esos usuarios.

También puede utilizar los [informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 45 días o más. Puede descargar los informes de credenciales en formato `.csv` desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) en la *Guía del usuario de IAM*.

## [IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
<a name="iam-23"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regla:** `tagged-accessanalyzer-analyzer` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un analizador gestionado por AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tiene etiquetas con las claves específicas definidas en el parámetro. `requiredTagKeys` El control lanza error si el analizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el analizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-23-remediation"></a>

Para agregar etiquetas a un analizador, consulte [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html) en la *Referencia de la API del Analizador de acceso de AWS  IAM*.

## [IAM.24] Los roles de IAM deben etiquetarse
<a name="iam-24"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::Role`

**AWS Config regla:** `tagged-iam-role` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un rol AWS Identity and Access Management (de IAM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-24-remediation"></a>

Para agregar etiquetas a un rol de IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

## [IAM.25] Los usuarios de IAM deben etiquetarse
<a name="iam-25"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla:** `tagged-iam-user` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un usuario AWS Identity and Access Management (de IAM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el usuario no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el usuario no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-25-remediation"></a>

Para agregar etiquetas a un usuario de IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

## [IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
<a name="iam-26"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS 

**Categoría:** Identificar > Cumplimiento

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::ServerCertificate`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Esto controla si un certificado de SSL/TLS servidor activo que se administra en IAM ha caducado. El control falla si no se elimina el certificado de SSL/TLS servidor caducado.

Para habilitar las conexiones HTTPS a tu sitio web o aplicación AWS, necesitas un certificado de SSL/TLS servidor. Puede usar IAM o AWS Certificate Manager (ACM) para almacenar e implementar certificados de servidor. Utilice IAM como administrador de certificados solo cuando deba admitir conexiones HTTPS en un Región de AWS entorno no compatible con ACM. IAM cifra de forma segura sus claves privadas y almacena la versión cifrada en el almacenamiento de certificados SSL de IAM. IAM admite el despliegue de certificados de servidor en todas las regiones, pero debe obtener su certificado de un proveedor externo para poder utilizarlo con ellos. AWS No se puede cargar un certificado de ACM en IAM. Además, no se puede administrar los certificados desde la consola de IAM. Al eliminar SSL/TLS los certificados caducados, se elimina el riesgo de que un certificado no válido se distribuya accidentalmente en un recurso, lo que puede dañar la credibilidad de la aplicación o el sitio web subyacentes.

### Corrección
<a name="iam-26-remediation"></a>

Para eliminar un certificado de servidor de IAM, consulte [Administración de los certificados de servidor en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) en la *Guía del usuario de IAM*.

## [IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS 

**Categoría:** Proteger > Administración de acceso seguro > Políticas de IAM seguras

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::Role`, `AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ «PolicyArns»: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Este control comprueba si una identidad de IAM (usuario, función o grupo) tiene asociada la política gestionada. AWS `AWSCloudShellFullAccess` El control lanza error si una identidad de IAM tiene la política `AWSCloudShellFullAccess` adjunta.

AWS CloudShell proporciona una forma cómoda de ejecutar comandos CLI contra Servicios de AWS. La política AWS gestionada `AWSCloudShellFullAccess` proporciona acceso total a CloudShell, lo que permite cargar y descargar archivos entre el sistema local del usuario y el CloudShell entorno. Dentro del CloudShell entorno, un usuario tiene permisos de sudo y puede acceder a Internet. Como resultado, adjuntar esta política gestionada a una identidad de IAM les permite instalar software de transferencia de archivos y mover datos desde CloudShell servidores de Internet externos. Recomendamos seguir el principio de privilegio mínimo y adjuntar permisos más limitados a las identidades de IAM.

### Corrección
<a name="iam-27-remediation"></a>

Para desasociar la política `AWSCloudShellFullAccess` de una identidad de IAM, consulte [Cómo agregar y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

## [IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
<a name="iam-28"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS 

**Categoría:** Detectar > Servicios de detección > Supervisión de uso con privilegios

**Gravedad:** alta

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un Cuenta de AWS analizador de acceso externo de IAM Access Analyzer está activado. El control lanza error si la cuenta no tiene un analizador de acceso externo habilitado en la Región de AWS seleccionada.

Los analizadores de acceso externo del Analizador de acceso de IAM ayudan a identificar recursos, como buckets de Amazon Simple Storage Service (Amazon S3) o roles de IAM, que se comparten con una entidad externa. De esta manera, se evita el acceso no deseado a los recursos y los datos. El Analizador de acceso de IAM es regional y debe estar habilitado en cada región. Para identificar los recursos que se comparten con entidades externas, un analizador de acceso utiliza un razonamiento basado en la lógica para analizar las políticas basadas en los recursos de su entorno. AWS Cuando crea un analizador de acceso externo, puede crearlo y habilitarlo para toda la organización o para cuentas individuales.

**nota**  
Si una cuenta forma parte de una organización AWS Organizations, este control no tiene en cuenta los analizadores de acceso externos que especifican la organización como zona de confianza y están habilitados para la organización en la región actual. Si la organización usa este tipo de configuración, considere desactivar este control para las cuentas de miembro individuales en la organización en la región.

### Corrección
<a name="iam-28-remediation"></a>

Para obtener información sobre cómo habilitar un analizador de acceso externo en una región específica, consulte tag [Introducción al Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) en la *Guía del usuario de IAM*. Debe habilitar un analizador en cada región en la que desee supervisar el acceso a sus recursos.

# Controles CSPM de Security Hub para Amazon Inspector
<a name="inspector-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Inspector.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
<a name="inspector-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el EC2 escaneo de Amazon Inspector está activado. En el caso de una cuenta independiente, el control falla si el EC2 escaneo de Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de administrador de Amazon Inspector delegada y todas las cuentas de los miembros no tienen habilitada la EC2 digitalización.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de EC2 escaneo de las cuentas de los miembros de la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la EC2 digitalización de Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El EC2 escaneo de Amazon Inspector extrae los metadatos de su instancia de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para obtener resultados. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad a la red. Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede escanear sin un agente SSM, consulte [Sistemas operativos compatibles: EC2 digitalización de Amazon](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Corrección
<a name="inspector-1-remediation"></a>

Para activar el EC2 escaneo de Amazon Inspector, consulte [Activación de escaneos](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
<a name="inspector-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis de ECR en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de ECR en Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de ECR.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de ECR para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de ECR en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry (Amazon ECR) en busca de vulnerabilidades en el software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon Inspector para Amazon ECR, se configura Amazon Inspector como servicio de análisis preferido para su registro privado. Amazon Inspector reemplaza los análisis básicos, que se ofrecen de forma gratuita en Amazon ECR, por análisis mejorados, que se ofrecen y facturan a través de Amazon Inspector. Los análisis mejorados le ofrecen la ventaja de analizar vulnerabilidades tanto de sistemas operativos como de paquetes de lenguajes de programación en el nivel de registro. Puede revisar los resultados descubiertos a partir de análisis mejorados en el nivel de imagen, para cada capa de la imagen, en la consola de Amazon ECR. Además, puedes revisar estos resultados y trabajar con ellos en otros servicios que no están disponibles para los resultados de digitalización básicos, como AWS Security Hub CSPM Amazon EventBridge.

### Corrección
<a name="inspector-2-remediation"></a>

Para habilitar el análisis de ECR en Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
<a name="inspector-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis de código de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de código de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de código de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de código de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de códigos de Lambda en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El escaneo de código Lambda de Amazon Inspector analiza el código de la aplicación personalizada dentro de una AWS Lambda función para detectar vulnerabilidades en el código según las prácticas recomendadas AWS de seguridad. El análisis de código de Lambda puede detectar fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código. Esta función [Regiones de AWS solo está disponible de forma específica](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](#inspector-4)).

### Corrección
<a name="inspector-3-remediation"></a>

Para habilitar el análisis de código de Lambda en Amazon Inspector, consulte [Activación de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
<a name="inspector-4"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis estándar de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis estándar de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis estándar de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis estándar de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis estándar de Lambda en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El escaneo estándar de Amazon Inspector Lambda identifica las vulnerabilidades de software en las dependencias del paquete de aplicaciones que añada al código y las capas de AWS Lambda función. Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo `Package Vulnerability`. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](#inspector-3)). 

### Corrección
<a name="inspector-4-remediation"></a>

Para habilitar el análisis estándar de Lambda en Amazon Inspector, consulte [Activación de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

# Controles CSPM de Security Hub para AWS IoT
<a name="iot-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS IoT servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
<a name="iot-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::SecurityProfile`

**AWS Config regla:** `tagged-iot-securityprofile` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un perfil de AWS IoT Device Defender seguridad tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el perfil de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el perfil de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-1-remediation"></a>

*Para añadir etiquetas a un perfil AWS IoT Device Defender de seguridad, consulte [Etiquetar AWS IoT los recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## [IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
<a name="iot-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::MitigationAction`

**AWS Config regla:** `tagged-iot-mitigationaction` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una acción de AWS IoT Core mitigación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la acción de mitigación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la acción de mitigación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-2-remediation"></a>

*Para añadir etiquetas a una acción de AWS IoT Core mitigación, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas
<a name="iot-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Dimension`

**AWS Config regla:** `tagged-iot-dimension` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS IoT Core dimensión tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la dimensión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la dimensión no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-3-remediation"></a>

*Para añadir etiquetas a una AWS IoT Core dimensión, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
<a name="iot-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Authorizer`

**AWS Config regla:** `tagged-iot-authorizer` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS IoT Core autorizador tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el autorizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el autorizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-4-remediation"></a>

*Para añadir etiquetas a un AWS IoT Core autorizador, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la Guía para desarrolladores.AWS IoT *

## Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
<a name="iot-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::RoleAlias`

**AWS Config regla:** `tagged-iot-rolealias` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el alias de un AWS IoT Core rol tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el alias de un rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el alias de un rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-5-remediation"></a>

*Para añadir etiquetas a un alias de AWS IoT Core rol, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas
<a name="iot-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Policy`

**AWS Config regla:** `tagged-iot-policy` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS IoT Core política tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la política no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-6-remediation"></a>

*Para añadir etiquetas a una AWS IoT Core política, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

# Controles CSPM de Security Hub para IoT Events AWS
<a name="iotevents-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de AWS IoT Events.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
<a name="iotevents-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::Input`

**Regla de AWS Config : ** `iotevents-input-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una entrada de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la entrada no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la entrada no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-1-remediation"></a>

Para añadir etiquetas a una entrada de AWS IoT Events, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

## [Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
<a name="iotevents-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::DetectorModel`

**Regla de AWS Config : ** `iotevents-detector-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de detector de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el modelo detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-2-remediation"></a>

Para añadir etiquetas a un modelo de detector de eventos de AWS IoT, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

## [Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
<a name="iotevents-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::AlarmModel`

**Regla de AWS Config : ** `iotevents-alarm-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de alarma de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo de alarma no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el modelo de alarma no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-3-remediation"></a>

Para añadir etiquetas a un modelo de alarma de AWS IoT Events, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

# Controles CSPM de Security Hub para IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el SiteWise servicio y los recursos de AWS IoT.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
<a name="iotsitewise-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::AssetModel`

**Regla de AWS Config : ** `iotsitewise-asset-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de SiteWise activos de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo de activos no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se especifica el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el modelo de activos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-1-remediation"></a>

Para añadir etiquetas a un modelo de SiteWise activos de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
<a name="iotsitewise-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Dashboard`

**Regla de AWS Config : ** `iotsitewise-dashboard-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise panel de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el panel no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el panel no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-2-remediation"></a>

Para añadir etiquetas a un SiteWise panel de AWS IoT, consulta Cómo [etiquetar tus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
<a name="iotsitewise-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Gateway`

**Regla de AWS Config : ** `iotsitewise-gateway-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una SiteWise pasarela de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza error si la puerta de enlace no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-3-remediation"></a>

Para agregar etiquetas a una SiteWise puerta de enlace de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
<a name="iotsitewise-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Portal`

**Regla de AWS Config : ** `iotsitewise-portal-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise portal de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el portal no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el portal no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-4-remediation"></a>

Para añadir etiquetas a un SiteWise portal de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
<a name="iotsitewise-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Project`

**Regla de AWS Config : ** `iotsitewise-project-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise proyecto de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el proyecto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el proyecto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-5-remediation"></a>

Para añadir etiquetas a un SiteWise proyecto de AWS IoT, consulte [Etiquetar sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

# Controles CSPM de Security Hub para IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el TwinMaker servicio y los recursos de AWS IoT.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
<a name="iottwinmaker-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::SyncJob`

**Regla de AWS Config : ** `iottwinmaker-sync-job-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un trabajo de TwinMaker sincronización de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el trabajo de sincronización no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el trabajo de sincronización no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-1-remediation"></a>

Para añadir etiquetas a un trabajo de TwinMaker sincronización de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
<a name="iottwinmaker-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Workspace`

**Regla de AWS Config : ** `iottwinmaker-workspace-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un TwinMaker espacio de trabajo de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza error si el espacio de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el espacio de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-2-remediation"></a>

Para añadir etiquetas a un espacio de TwinMaker trabajo de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
<a name="iottwinmaker-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Scene`

**Regla de AWS Config : ** `iottwinmaker-scene-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una TwinMaker escena de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la escena no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la escena no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-3-remediation"></a>

Para añadir etiquetas a una TwinMaker escena de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
<a name="iottwinmaker-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Entity`

**Regla de AWS Config : ** `iottwinmaker-entity-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una TwinMaker entidad de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la entidad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la entidad no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-4-remediation"></a>

Para añadir etiquetas a una TwinMaker entidad de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

# Controles CSPM de Security Hub para IoT Wireless AWS
<a name="iotwireless-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de AWS IoT Wireless.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
<a name="iotwireless-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::MulticastGroup`

**Regla de AWS Config : ** `iotwireless-multicast-group-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un grupo de multidifusión de AWS IoT Wireless tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza un error si el grupo de multidifusión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de multidifusión no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-1-remediation"></a>

Para agregar etiquetas a un grupo de multidifusión de AWS IoT Wireless, consulte [Etiquetar sus AWS IoT Wireless recursos en la Guía para AWS IoT Wireless](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) *desarrolladores*.

## [Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
<a name="iotwireless-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::ServiceProfile`

**Regla de AWS Config : ** `iotwireless-service-profile-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un perfil de servicio AWS IoT Wireless tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el perfil de servicio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el perfil de servicio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-2-remediation"></a>

Para añadir etiquetas a un perfil de servicio de AWS IoT Wireless, consulte [Etiquetar sus AWS IoT Wireless recursos](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) en la *Guía para AWS IoT Wireless desarrolladores*.

## [Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
<a name="iotwireless-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::FuotaTask`

**Regla de AWS Config : ** `iotwireless-fuota-task-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una tarea de actualización del firmware de AWS IoT Wireless over-the-air (FUOTA) tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la tarea FUOTA no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tarea FUOTA no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-3-remediation"></a>

Para añadir etiquetas a una tarea FUOTA de AWS IoT Wireless, consulta Cómo [etiquetar tus AWS IoT Wireless recursos en la Guía para AWS IoT Wireless](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) *desarrolladores*.

# Controles CSPM de Security Hub para Amazon IVS
<a name="ivs-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Interactive Video Service (IVS).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
<a name="ivs-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::PlaybackKeyPair`

**Regla de AWS Config : ** `ivs-playback-key-pair-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un par de claves de reproducción de Amazon IVS tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el par de claves de reproducción no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el par de claves de reproducción no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-1-remediation"></a>

Para agregar etiquetas a un par de claves de reproducción de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

## [IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
<a name="ivs-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::RecordingConfiguration`

**Regla de AWS Config : ** `ivs-recording configuration-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una configuración de grabación de Amazon IVS tiene etiquetas con claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la configuración de grabación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la configuración de grabación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-2-remediation"></a>

Para agregar etiquetas a una configuración de grabación de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

## [IVS.3] Los canales de IVS deben estar etiquetados
<a name="ivs-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::Channel`

**Regla de AWS Config : ** `ivs-channel-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un canal de Amazon IVS tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el canal no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el canal no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-3-remediation"></a>

Para agregar etiquetas a un canal de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

# Controles CSPM de Security Hub para Amazon Keyspaces
<a name="keyspaces-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Keyspaces.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
<a name="keyspaces-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Cassandra::Keyspace`

**Regla de AWS Config : ** `cassandra-keyspace-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un espacio de claves de Amazon Keyspaces tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el espacio de claves no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el espacio de claves no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="keyspaces-1-remediation"></a>

Para agregar etiquetas a un espacio de claves de Amazon Keyspaces, consulte [Cómo agregar etiquetas a un espacio de claves](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) en la *Guía para desarrolladores de Amazon Keyspaces*.

# Controles CSPM de Security Hub para Kinesis
<a name="kinesis-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Kinesis.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
<a name="kinesis-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si Kinesis Data Streams está cifrada en reposo con el cifrado del servidor. Este control falla si una transmisión de Kinesis no se cifra en reposo con el cifrado del servidor.

El cifrado del servidor es una característica de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que estén en reposo mediante un AWS KMS key. Los datos se cifran antes de escribirlos en la capa de almacenamiento del flujo de Kinesis y se descifran después de recuperarlos del almacenamiento. Como resultado, sus datos se cifran en reposo dentro del servicio de Amazon Kinesis Data Streams.

### Corrección
<a name="kinesis-1-remediation"></a>

Para obtener información sobre cómo habilitar el cifrado del servidor para las transmisiones de Kinesis, consulte [¿Cómo puedo empezar con el cifrado del servidor?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) en la *Guía para desarrolladores de Amazon Kinesis*.

## [Kinesis.2] Las transmisiones de Kinesis deben etiquetarse
<a name="kinesis-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Kinesis::Stream`

**AWS Config regla:** `tagged-kinesis-stream` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un flujo de datos de Amazon Kinesis tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el flujo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el flujo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="kinesis-2-remediation"></a>

Para agregar etiquetas a un flujo de datos de Kinesis, consulte [Etiquetado de flujos de Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) en la *Guía para desarrolladores de Amazon Kinesis*.

## [Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
<a name="kinesis-3"></a>

**Gravedad:** media

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regla de AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Cantidad mínima de horas que deben conservarse los datos.  | Cadena  | 24 a 8760  | 168  | 

Este control comprueba si un flujo de datos de Amazon Kinesis tiene un periodo de retención de datos más largo o igual de largo que el periodo especificado. El control lanza un error si el periodo de retención de datos es más corto que el periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de datos, Security Hub CSPM utiliza un valor predeterminado de 168 horas.

En Kinesis Data Streams, un flujo de datos es una secuencia ordenada de registros de datos que se puede escribir y leer en tiempo real. Los registros de datos se almacenan temporalmente en particiones de su flujo. El periodo de tiempo desde que se agrega un registro hasta que ya no se puede obtener acceso a él se denomina periodo de retención. Kinesis Data Streams hace que los registros más antiguos que el nuevo periodo de retención sean inaccesibles casi inmediatamente después de reducir el periodo de retención. Por ejemplo, cambiar el periodo de retención de 24 horas a 48 horas implica que los registros añadidos a la secuencia 23 horas y 55 minutos antes seguirán estando disponibles después de que hayan transcurrido 24 horas. 

### Corrección
<a name="kinesis-3-remediation"></a>

Para cambiar el periodo de retención de las copias de seguridad de sus flujos de Kinesis Data Streams, consulte [Change the data retention period](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) en la *Guía para desarrolladores de Amazon Kinesis Data Streams*.

# Controles CSPM de Security Hub para AWS KMS
<a name="kms-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Key Management Service (AWS KMS) servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS
<a name="kms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (no personalizable)
+ `excludePermissionBoundaryPolicy`: `True` (no personalizable)

Comprueba si la versión predeterminada de las políticas gestionadas por los clientes de IAM permite a los directores utilizar las acciones de AWS KMS descifrado en todos los recursos. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de `kms:Decrypt` o `kms:ReEncryptFrom` en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política. Además, el control evalúa las políticas administradas por el cliente asociadas y no asociadas. No comprueba las políticas integradas ni las políticas gestionadas. AWS 

Con AWS KMS ella, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos `kms:Decrypt` o `kms:ReEncryptFrom` y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de `kms:Decrypt` en todas las claves KMS. En su lugar, permita únicamente `kms:Decrypt` las claves de su cuenta en una región determinada. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

### Corrección
<a name="kms-1-remediation"></a>

Para modificar una política de IAM administrada por el cliente, consulte [Edición de políticas gestionadas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) en la *Guía del usuario de IAM*. Al editar su política, proporcione para el campo `Resource` el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

## [KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS
<a name="kms-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (no personalizable)

Este control comprueba si las políticas integradas en sus identidades de IAM (rol, usuario o grupo) permiten las acciones de AWS KMS descifrado y recrifrado de todas las claves de KMS. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de `kms:Decrypt` o `kms:ReEncryptFrom` en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política.

Con él AWS KMS, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos que necesitan y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de `kms:Decrypt` en todas las claves KMS. En su lugar, conceda el permiso solo a claves específicas de una región específica de su cuenta. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

### Corrección
<a name="kms-2-remediation"></a>

Para modificar una política en línea de IAM, consulte [Edición de políticas en línea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) en la *Guía del usuario de IAM*. Al editar su política, proporcione para el campo `Resource` el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

## [KMS.3] no AWS KMS keys debe eliminarse involuntariamente
<a name="kms-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2, 2 ( NIST.800-53.r5 SC-12)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**AWS Config regla:** `kms-cmk-not-scheduled-for-deletion-2` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la eliminación de las claves de KMS está programada. El control falla si está programada la eliminación de una clave KMS.

Las claves KMS no se pueden recuperar una vez eliminadas. Los datos cifrados con una clave KMS tampoco se pueden recuperar permanentemente si se elimina la clave KMS. *Si los datos significativos se han cifrado con una clave de KMS cuya eliminación está programada, considere la posibilidad de descifrar los datos o volver a cifrarlos con una nueva clave de KMS, a menos que esté realizando un borrado criptográfico de forma intencionada.*

Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio para dar tiempo a revertir la eliminación, en caso de que se haya programado por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan solo 7 días si está programada la eliminación de la clave KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se eliminará la clave KMS.

Para obtener información adicional sobre la eliminación de claves de KMS, consulte [Eliminar claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.

### Corrección
<a name="kms-3-remediation"></a>

Para cancelar una eliminación de claves de KMS programada, consulte **Para cancelar la eliminación de claves** en [Programación y cancelación de la eliminación de claves (consola)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) de la *Guía para desarrolladores de AWS Key Management Service *.

## La rotación de AWS KMS claves [KMS.4] debe estar habilitada
<a name="kms-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 ( NIST.800-53.r5 SC-12), 8 (3), PCI AWS DSS v3.2.1/3.6.4, PCI DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::KMS::Key`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

AWS KMS permite a los clientes girar la clave de respaldo, que es el material clave almacenado AWS KMS y vinculado al ID de clave de la clave KMS. Es la clave de backup que se utiliza para realizar operaciones criptográficas como, por ejemplo, cifrado y descifrado. Actualmente, la rotación de claves automática retiene todas las claves de backup anteriores, por lo que el descifrado de los datos cifrado se puede realizar de forma transparente.

CIS recomienda que habilite la rotación de claves de KMS. La rotación de claves de cifrado ayuda a reducir el impacto potencial de una clave en peligro porque los datos cifrados con una nueva clave no son accesibles con un clave anterior que se haya visto expuesta.

### Corrección
<a name="kms-4-remediation"></a>

Para habilitar la rotación de claves de KMS, consulte [Cómo habilitar y deshabilitar la rotación automática de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) en la *Guía para desarrolladores de AWS Key Management Service *.

## [KMS.5] Las claves KMS no deben ser de acceso público
<a name="kms-5"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS KMS key es de acceso público. El control falla si se puede acceder de manera pública a la clave de KMS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si la política de claves de a AWS KMS key permite el acceso desde cuentas externas, es posible que terceros puedan cifrar y descifrar los datos con la clave. Esto podría provocar que una amenaza interna o externa extraiga datos del usuario Servicios de AWS que utilice la clave.

**nota**  
Este control también indica AWS KMS key si las configuraciones AWS Config impiden registrar la política clave en el elemento de configuración (CI) de la clave KMS. `FAILED` AWS Config Para completar la política clave en el CI para la clave de KMS, el [AWS Config rol](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) debe tener acceso para leer la política clave mediante la llamada a la [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Para resolver este tipo de problema`FAILED`, compruebe las políticas que pueden impedir que el AWS Config rol tenga acceso de lectura a la política clave de la clave de KMS. Por ejemplo, revise lo siguiente:  
La política de claves de la clave de KMS.
[Las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) y [las políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations que se aplican a tu cuenta.
Permisos para el AWS Config rol, si no está utilizando el rol [AWS Config vinculado al servicio](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Además, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de claves deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="kms-5-remediation"></a>

Para obtener información sobre cómo actualizar la política clave de un usuario AWS KMS key, consulte [las políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) la Guía para *AWS Key Management Service desarrolladores*.

# Controles CSPM de Security Hub para AWS Lambda
<a name="lambda-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Lambda servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
<a name="lambda-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público a la cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, como por ejemplo `AWS:SourceAccount`. Le recomendamos que utilice otras condiciones de S3 junto con `AWS:SourceAccount` en su política de bucket para obtener un acceso más preciso.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de la función de Lambda deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la característica.

### Corrección
<a name="lambda-1-remediation"></a>

Para solucionar este problema, debe actualizar la política basada en los recursos de su característica para eliminar los permisos o añadir la condición de `AWS:SourceAccount`. Solo puede actualizar la política basada en recursos desde la API Lambda o. AWS CLI

Para empezar, [revise la política basada en recursos de la](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) consola Lambda. Identifique la declaración de política que tiene valores de campo `Principal` que hacen que la política sea pública, como `"*"` o `{ "AWS": "*" }`.

No puede editar la política desde la consola. Para eliminar los permisos de la característica, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) desde AWS CLI.

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Sustituya `<function-name>` por el nombre de la función de Lambda y `<statement-id>` con el identificador de la sentencia (`Sid`) que desee eliminar.

## [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
<a name="lambda-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (no personalizable)

Este control comprueba si la configuración del tiempo de ejecución de la AWS Lambda función coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El control falla si la función de Lambda no utiliza un tiempo de ejecución compatible, tal como se indicó en la sección Parámetros. Security Hub CSPM ignora las funciones que tienen un tipo de paquete de. `Image`

Los Tiempos de ejecución de Lambda se crean a partir de una combinación de sistema operativo, lenguaje de programación y bibliotecas de software, todos ellos sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar eventos de invocación. Recomendamos comprobar que sus funciones de Lambda sean actuales y que no utilicen entornos de tiempo de ejecución obsoletos. Para obtener una lista de los tiempos de ejecución compatibles, consulte los [tiempos de ejecución de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) en la *Guía para desarrolladores de AWS Lambda *.

### Corrección
<a name="lambda-2-remediation"></a>

Para obtener más información sobre los tiempos de ejecución compatibles y los programas de obsolescencia, consulte la [Política de obsolescencia del tiempo de ejecución](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) en la *Guía para desarrolladores de AWS Lambda *. Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje. También recomendamos implementar [actualizaciones del tiempo de ejecución](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) para ayudar a reducir el riesgo de que las cargas de trabajo se vean afectadas en el caso de que se produzca una incompatibilidad entre las versiones en el tiempo de ejecución.

## [Lambda.3] Las funciones de Lambda deben estar en una VPC
<a name="lambda-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si se implementó una función de Lambda en una nube privada virtual (VPC). El control falla si no se implementa la función de Lambda en una VPC. El CSPM de Security Hub no evalúa la configuración de enrutamiento de subred de la VPC para determinar la accesibilidad pública. Es posible que vea resultados erróneos en los recursos de Lambda @Edge.

La implementación de recursos en una VPC refuerza la seguridad y el control de las configuraciones de red. Estas implementaciones también ofrecen escalabilidad y una alta tolerancia a los errores en varias zonas de disponibilidad. Puede personalizar las implementaciones de VPC para cumplir con los diversos requisitos de las aplicaciones.

### Corrección
<a name="lambda-3-remediation"></a>

Para configurar una característica existente para conectarse a subredes privadas de su VPC, [consulte ](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)Configuración del acceso a la VPC* en la Guía para desarrolladores de AWS Lambda *. Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la característica.

## [Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
<a name="lambda-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si una AWS Lambda función que se conecta a una nube privada virtual (VPC) funciona al menos en el número especificado de zonas de disponibilidad (AZs). El control falla si la función no funciona al menos en el número especificado de AZs. A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

La implementación de recursos en varios AZs es una práctica AWS recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conectan a una VPC deben tener una implementación multi-AZ para garantizar que una sola zona de error no provoque una interrupción total de las operaciones.

### Corrección
<a name="lambda-5-remediation"></a>

Si configura la función para conectarse a una VPC de su cuenta, especifique las subredes en varias AZs para garantizar una alta disponibilidad. Para obtener instrucciones, consulte [Configuración del acceso a la VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) en la *Guía para desarrolladores de AWS Lambda *.

Lambda ejecuta automáticamente otras funciones de forma múltiple AZs para garantizar que esté disponible para procesar eventos en caso de una interrupción del servicio en una sola zona.

## [Lambda.6] Las funciones de Lambda deben estar etiquetadas
<a name="lambda-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**AWS Config regla:** `tagged-lambda-function` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS Lambda función tiene etiquetas con las teclas específicas definidas en el parámetro`requiredTagKeys`. El control falla si la función no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la función no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="lambda-6-remediation"></a>

Para agregar etiquetas a una función de Lambda, consulte [Uso de etiquetas en funciones de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) en la *Guía para desarrolladores de AWS Lambda *.

## [Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
<a name="lambda-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el rastreo activo con AWS X-Ray está activado para una AWS Lambda función. El control falla si el rastreo activo con X-Ray está desactivado para la función de Lambda.

AWS X-Ray puede proporcionar capacidades de seguimiento y supervisión de las AWS Lambda funciones, lo que puede ahorrar tiempo y esfuerzo en la depuración y el funcionamiento de las funciones Lambda. Puede ayudar a diagnosticar errores e identificar cuellos de botella de rendimiento, ralentizaciones y tiempos de espera mediante un desglose detallado de la latencia de las funciones de Lambda. También puede contribuir al cumplimiento de los requisitos de privacidad y protección de los datos. Si habilita el rastreo activo para una función de Lambda, X-Ray ofrece una visión integral del flujo y procesamiento de datos dentro de la función, lo que puede ayudar a identificar posibles vulnerabilidades de seguridad o prácticas de manejo de datos que no cumplan los requisitos. Esta visibilidad contribuye a mantener la integridad y la confidencialidad de los datos, así como el cumplimiento de las normas pertinentes.

**nota**  
AWS X-Ray Actualmente, el rastreo no es compatible con las funciones de Lambda con Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogestionado, Amazon MQ con ActiveMQ y RabbitMQ o las asignaciones de fuentes de eventos de Amazon DocumentDB.

### Corrección
<a name="lambda-7-remediation"></a>

*Para obtener información sobre cómo habilitar el seguimiento activo para una AWS Lambda función, consulte [Visualización de las invocaciones de funciones Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) en AWS Lambda la Guía para AWS X-Ray desarrolladores.*

# Controles CSPM de Security Hub para Macie
<a name="macie-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio Amazon Macie.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie debe estar habilitado
<a name="macie-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIst.800-53.R5 SI-4

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**Tipo de programa:** Periódico

Este control comprueba si Amazon Macie está habilitado para una cuenta. Se produce un error en el control si Macie no está habilitado para la cuenta.

Amazon Macie detecta datos confidenciales mediante el machine learning y la coincidencia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite establecer una protección automatizada contra esos riesgos. Macie evalúa de manera automática y continua los buckets de Amazon Simple Storage Service (Amazon S3) para garantizar la seguridad y el control de acceso, y genera resultados para notificarle posibles problemas con la seguridad o la privacidad de los datos de Amazon S3. Macie también detecta y notifica de manera automática los datos confidenciales, como información de identificación personal (PII), para proporcionarle una mejor comprensión de los datos que almacena en Amazon S3. Para más información, consulte la [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Corrección
<a name="macie-1-remediation"></a>

Para habilitar Macie, consulte [Habilitación de Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) en la *Guía del usuario de Amazon Macie*.

## [Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
<a name="macie-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), (19), NIst.800-53.r5 SI-4 NIST.800-53.r5 RA-5 NIST.800-53.r5 SA-8

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**Tipo de programa:** Periódico

Este control comprueba si la detección automática de datos confidenciales está habilitada en una cuenta de administrador de Amazon Macie. Se produce un error en el control si la detección automática de datos confidenciales no está habilitada en una cuenta de administrador de Macie. Este control solo se aplica a las cuentas de administrador.

Macie detecta y notifica de manera automática los datos confidenciales, como información de identificación personal (PII), en buckets de Amazon Simple Storage Service (Amazon S3). Gracias a la detección automática de datos confidenciales, Macie evalúa continuamente su inventario de buckets y utiliza técnicas de muestreo para identificar y seleccionar los objetos de S3 representativos de sus buckets. A continuación, Macie analiza los objetos seleccionados en busca de datos confidenciales. A medida que el análisis avanza, Macie actualiza las estadísticas, los datos de inventario y demás información que proporciona sobre sus datos en S3. Macie también genera resultados para informar sobre los datos confidenciales que encuentra.

### Corrección
<a name="macie-2-remediation"></a>

Para crear y configurar trabajos automáticos de descubrimiento de datos confidenciales para analizar objetos en buckets de S3, consulte [Configuring automated sensitive data discovery for your account](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) en la *Guía del usuario de Amazon Macie.*

# Controles de CSPM de Security Hub para Amazon MSK
<a name="msk-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Managed Streaming for Apache Kafka (Amazon MSK). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
<a name="msk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) entre los nodos intermediarios del clúster. El control falla si la comunicación de texto sin formato está habilitada para una conexión de nodo intermediario del clúster.

HTTPS ofrece un nivel de seguridad adicional, ya que utiliza el TLS para mover los datos y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. De forma predeterminada, Amazon MSK cifra los datos en tránsito con TLS. Sin embardo, puede anular este valor predeterminado en el momento en que cree el clúster. Recomendamos utilizar conexiones cifradas a través de HTTPS (TLS) para las conexiones de nodos intermediarios.

### Corrección
<a name="msk-1-remediation"></a>

Para obtener información sobre cómo actualizar la configuración de cifrado de un clúster de Amazon MSK, consulte [Actualización de la configuración de seguridad de un clúster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) en la *Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka*.

## [MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
<a name="msk-2"></a>

**Requisitos relacionados**: NIST.800-53.r5 SI-2 NIST.800-53.r5 CA-7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon MSK tiene configurada la supervisión mejorada, especificada mediante un nivel de supervisión de al menos `PER_TOPIC_PER_BROKER`. Se produce un error en el control si el nivel de supervisión del clúster está establecido en `DEFAULT` o `PER_BROKER`.

El nivel de supervisión `PER_TOPIC_PER_BROKER` proporciona información más detallada sobre el rendimiento del clúster de MSK y también proporciona métricas relacionadas con el uso de los recursos, como el uso de la CPU y la memoria. Esto ayuda a identificar los cuellos de botella en el rendimiento y los patrones de uso de los recursos para temas y agentes individuales. Esta visibilidad, a su vez, puede optimizar el rendimiento de sus agentes de Kafka.

### Corrección
<a name="msk-2-remediation"></a>

Para configurar la supervisión mejorada para un clúster de MSK, haga lo siguiente:

1. ¿Abrir la consola Amazon MSK en [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. En el panel de navegación, seleccione **Clusters (Clústeres)**. A continuación, elija una etiqueta de clúster.

1. En **Acción**, seleccione **Editar supervisión**.

1. Seleccione la opción **Supervisión mejorada a nivel de tema**.

1. Seleccione **Save changes (Guardar cambios)**.

Para obtener más información sobre los niveles de monitoreo, consulte [las métricas de Amazon MSK para monitorear a los corredores estándar CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) en la Guía para desarrolladores de *Amazon Managed Streaming for Apache Kafka*.

## [MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
<a name="msk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**AWS Config regla:** `msk-connect-connector-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un conector Amazon MSK Connect está cifrado en tránsito. Este control falla si el conector no está cifrado en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="msk-3-remediation"></a>

Puede habilitar el cifrado en tránsito cuando crea un conector MSK Connect. No puede cambiar la configuración de cifrado después de crear un conector. Para obtener más información, consulte [Crear un conector](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) en la *Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka*.

## [MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
<a name="msk-4"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica que el acceso público esté desactivado para un clúster de Amazon MSK. El control falla si el acceso público está habilitado para el clúster de MSK.

De forma predeterminada, los clientes solo pueden acceder a un clúster de Amazon MSK cuando se encuentran en la misma VPC que el clúster. Toda la comunicación entre clientes de Kafka y un clúster de MSK es privada de forma predeterminada, y los datos de streaming no atraviesan Internet. Sin embargo, si un clúster de MSK está configurado para permitir acceso público, cualquier persona en Internet puede establecer una conexión con los agentes de Apache Kafka que se ejecutan dentro del clúster. Esto puede provocar problemas como acceso no autorizado, filtraciones de datos o explotación de vulnerabilidades. Si restringe el acceso a un clúster mediante medidas de autenticación y autorización, puede ayudar a proteger información confidencial y mantener la integridad de los recursos.

### Corrección
<a name="msk-4-remediation"></a>

Para obtener información sobre cómo administrar el acceso público a un clúster de Amazon MSK, consulte [Activación del acceso público para un clúster aprovisionado de MSK](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) en la *Guía del desarrollador de Amazon Managed Streaming para Apache Kafka*.

## [MSK.5] Los conectores de MSK deben tener el registro habilitado
<a name="msk-5"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si el registro está habilitado para un conector de Amazon MSK. El control falla si el registro está desactivado para el conector de MSK.

Los conectores de Amazon MSK integran sistemas externos y servicios de Amazon con Apache Kafka mediante la copia continua de datos en streaming desde un origen de datos a un clúster de Apache Kafka, o mediante la copia continua de datos desde un clúster hacia un receptor de datos. MSK Connect puede generar eventos de registro que ayudan a depurar un conector. Al crear un conector, puede especificar cero o más de los siguientes destinos de registro: Amazon CloudWatch Logs, Amazon S3 y Amazon Data Firehose.

**nota**  
Los valores de configuración confidenciales pueden aparecer en los registros de los conectores si un complemento no los define como secretos. Kafka Connect trata los valores de configuración indefinidos de la misma manera que cualquier otro valor de texto sin formato.

### Corrección
<a name="msk-5-remediation"></a>

Para habilitar el registro en un conector de Amazon MSK existente, debe volver a crear el conector con la configuración de registro correspondiente. Para obtener información sobre las opciones de configuración, consulte [Registro para MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) en la *Guía del desarrollador de Amazon Managed Streaming para Apache Kafka*.

## [MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
<a name="msk-6"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el acceso sin autenticación está desactivado para un clúster de Amazon MSK. El control falla si el acceso sin autenticación está habilitado para el clúster de MSK.

Amazon MSK admite mecanismos de autenticación y autorización para controlar el acceso a un clúster. Estos mecanismos verifican la identidad de los clientes que se conectan al clúster y determinan qué acciones pueden realizar. Un clúster de MSK se puede configurar para permitir acceso sin autenticación, lo que posibilita que cualquier cliente con conectividad de red publique y se suscriba a temas de Kafka sin proporcionar credenciales. Ejecutar un clúster de MSK sin exigir autenticación infringe el principio de privilegio mínimo y puede exponer el clúster a accesos no autorizados. Esto permite que cualquier cliente acceda, modifique o elimine datos en los temas de Kafka, lo que puede provocar filtraciones de datos, modificaciones no autorizadas o interrupciones del servicio. Recomendamos habilitar mecanismos de autenticación como la autenticación mediante IAM, SASL/SCRAM o TLS mutuo para garantizar un control de acceso adecuado y mantener el cumplimiento de seguridad.

### Corrección
<a name="msk-6-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de autenticación de un clúster de Amazon MSK, consulte las siguientes secciones de la Guía para *desarrolladores de Amazon Managed Streaming for Apache Kafka*[: Actualización de la configuración de seguridad de un clúster de Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) [y Autenticación y autorización](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) para Apache Kafka. APIs

# Controles de CSPM de Security Hub para Amazon MQ
<a name="mq-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon MQ. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
<a name="mq-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bróker ActiveMQ de Amazon MQ transmite los registros de auditoría a Amazon Logs. CloudWatch El control falla si el agente no transmite los registros de auditoría a Logs. CloudWatch 

Al publicar los registros de ActiveMQ Broker en Logs CloudWatch , puede CloudWatch crear alarmas y métricas que aumenten la visibilidad de la información relacionada con la seguridad.

### Corrección
<a name="mq-2-remediation"></a>

*Para transmitir los registros de los corredores de ActiveMQ CloudWatch a los registros, consulte Configuración de [Amazon MQ para los registros de ActiveMQ en la Guía para desarrolladores de Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias
<a name="mq-3"></a>

**importante**  
Security Hub CSPM retiró este control en enero de 2026. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un agente de Amazon MQ tiene habilitada la actualización automática de las versiones secundarias. El control falla si el agente no tiene habilitada la actualización automática de las versiones secundarias.

A medida que Amazon MQ publique y admita las nuevas versiones del motor del agente, los cambios son compatibles con versiones anteriores de una aplicación existente y no dan de baja las funciones existentes. Las actualizaciones automáticas de las versiones del motor del agente lo protegen contra los riesgos de seguridad, ayudan a corregir errores y mejoran la funcionalidad.

**nota**  
Si el agente asociado a la actualización automática de una versión secundaria utiliza el parche más reciente y deja de ser compatible, debe tomar medidas manuales para hacer la actualización.

### Corrección
<a name="mq-3-remediation"></a>

Para habilitar la actualización automática de la versión secundaria para un agente de MQ, consulte [Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) en la *Guía para desarrolladores de Amazon MQ*.

## [MQ.4] Los agentes de Amazon MQ deben estar etiquetados
<a name="mq-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**AWS Config regla:** `tagged-amazonmq-broker` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un agente de Amazon MQ tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el agente no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el agente no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="mq-4-remediation"></a>

Para agregar etiquetas a un agente de Amazon MQ, consulte [Etiquetado de recursos](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) en la *Guía para desarrolladores de Amazon MQ*.

## [MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
<a name="mq-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el modo de implementación de un broker ActiveMQ de Amazon MQ está configurado como activo/en espera. El control falla si se establece un corredor de instancia única (habilitado de forma predeterminada) como modo de implementación.

La implementación activa/en espera proporciona una alta disponibilidad para sus corredores ActiveMQ de Amazon MQ en una Región de AWS. El modo de implementación activo/en espera incluye dos instancias de agente en dos zonas de disponibilidad diferentes, configuradas en un par redundante. Estos agentes se comunican de forma sincrónica con la aplicación, lo que puede reducir el tiempo de inactividad y la pérdida de datos en caso de que se produzca un error.

### Corrección
<a name="mq-5-remediation"></a>

*Para crear un agente ActiveMQ nuevo active/standby con modo de despliegue, [consulte Creación y configuración de un agente ActiveMQ en la Guía para desarrolladores de Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* En **Modo de implementación**, elija **Agente activo/en espera**. No se puede cambiar el modo de implementación de un broker ya existente. En su lugar, debe crear un nuevo corredor y copiar la configuración del corredor anterior.

## [MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
<a name="mq-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el modo de implementación de un bróker RabbitMQ de Amazon MQ está configurado para la implementación en clúster. El control falla si se establece un corredor de instancia única (habilitado de forma predeterminada) como modo de implementación.

La implementación de clústeres proporciona una alta disponibilidad para sus corredores de Amazon MQ RabbitMQ en una Región de AWS. La implementación del clúster es una agrupación lógica de tres nodos de agente de RabbitMQ, cada uno con su propio volumen de Amazon Elastic Block Store (Amazon EBS) y un estado compartido. La implementación del clúster garantiza que los datos se repliquen en todos los nodos del clúster, lo que puede reducir el tiempo de inactividad y la pérdida de datos en caso de error.

### Corrección
<a name="mq-6-remediation"></a>

Para crear un nuevo bróker de RabbitMQ con el modo de implementación de clústeres, consulte [Creación y conexión a un bróker de RabbitMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) en la *Guía para desarrolladores de Amazon MQ*. Para el **Modo de implementación**, elija **Implementación en clúster**. No se puede cambiar el modo de implementación de un broker ya existente. En su lugar, debe crear un nuevo corredor y copiar la configuración del corredor anterior.

# Controles CSPM de Security Hub para Neptune
<a name="neptune-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Neptune.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
<a name="neptune-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune está cifrado en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de sus clústeres de bases de datos de Neptune protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

### Corrección
<a name="neptune-1-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de base de datos de Neptune. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Cifrar los recursos inactivos de Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) en la *Guía del usuario de Neptuno*.

## [Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch
<a name="neptune-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIst.800-53.r5 SI-20, niST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), niST.800-53.r5 SI-4 (20), niST.800-53.r5 SI-4 (5), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/0.1/103,3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune publica registros de auditoría en Amazon CloudWatch Logs. El control falla si un clúster de base de datos de Neptune no publica los registros de auditoría en Logs. CloudWatch `EnableCloudWatchLogsExport`debe estar configurado en. `Audit`

Amazon Neptune y Amazon CloudWatch están integrados para que pueda recopilar y analizar métricas de rendimiento. Neptune envía automáticamente las métricas a las alarmas CloudWatch y también las admite CloudWatch . Los registros de auditoría son altamente personalizables. Al auditar una base de datos, cada operación realizada con los datos se puede supervisar y registrar en un registro de auditoría que incluye información sobre el clúster de base de datos al que se accede y cómo se accede. Le recomendamos que envíe estos registros para ayudarle CloudWatch a supervisar sus clústeres de base de datos de Neptune.

### Corrección
<a name="neptune-2-remediation"></a>

*Para publicar registros de auditoría de Neptune en Logs, consulte Publicar CloudWatch registros de [Neptuno CloudWatch en Amazon Logs en](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) la Guía del usuario de Neptune.* En la sección **Exportaciones de registros**, elija **Auditar**.

## [Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
<a name="neptune-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de un clúster de base de datos manual de Neptune es pública. El control falla si una instantánea manual del clúster de base de datos de Neptune es pública.

Una instantánea manual de un clúster de base de datos de Neptune no debe ser pública a menos que se pretenda. Si comparte una instantánea manual sin cifrar públicamente, la instantánea estará disponible para todo Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.

### Corrección
<a name="neptune-3-remediation"></a>

Para eliminar el acceso público a las instantáneas de clústeres de bases de datos manuales de Neptuno, consulte [Compartir una instantánea de clúster de base de datos](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) en la *Guía del usuario de Neptune*.

## [Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación
<a name="neptune-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos de Neptune no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. Un clúster de Neptune DB no se puede eliminar mientras está habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente.

### Corrección
<a name="neptune-4-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de base de datos de Neptune existente, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) en la *Guía del usuario de Amazon Aurora*.

## [Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas
<a name="neptune-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de base de datos de Neptune tiene las copias de seguridad automáticas habilitadas y un periodo de retención de las copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si las copias de seguridad no están habilitadas para el clúster de base de datos de Neptune o si el periodo de retención es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de sus clústeres de bases de datos de Neptune, podrá restaurar sus sistemas a un punto en el tiempo y minimizar el tiempo de inactividad y la pérdida de datos. 

### Corrección
<a name="neptune-5-remediation"></a>

Para habilitar las copias de seguridad automatizadas y establecer un periodo de retención de copias de seguridad para los clústeres de bases de datos de Neptune, consulte [Habilitación de las copias de seguridad automatizadas](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) en la *Guía del usuario de Amazon RDS*. Para el **período de retención de la copia de seguridad**, elija un valor mayor o igual a 7.

## [Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
<a name="neptune-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de un clúster de base de datos de Neptune está cifrada en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de las instantáneas de los clústeres de base de datos de Neptune deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="neptune-6-remediation"></a>

No puede cifrar una instantánea de un clúster de base de datos de Neptune existente. En su lugar, debe restaurar la instantánea en un nuevo clúster de base de datos y habilitar el cifrado en el clúster. Puede crear una instantánea cifrada desde el clúster cifrado. Para obtener instrucciones, consulte [Restauración desde una instantánea de clúster de base de datos](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) y [Creación de una instantánea de clúster de base de datos en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) en la *Guía del usuario de Neptuno*.

## [Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM
<a name="neptune-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de la base de datos de IAM no está habilitada para un clúster de base de datos de Neptune.

La autenticación de base de datos de IAM para los clústeres de base de datos de Amazon Neptune elimina la necesidad de almacenar credenciales de usuario en la configuración de base de datos, ya que la autenticación se administra externamente mediante IAM. Cuando la autenticación de bases de datos de IAM está habilitada, cada solicitud debe firmarse con la versión 4 de AWS Signature. 

### Corrección
<a name="neptune-7-remediation"></a>

De forma predeterminada, la autenticación de bases de datos de IAM está deshabilitada al crear un clúster de Neptune DB. Para habilitarlo, consulte [Habilitar la autenticación de bases de datos de IAM en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) en la *Guía del usuario de Neptuno*.

## [Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas
<a name="neptune-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune está configurado para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas. El control falla si un clúster de base de datos de Neptune no está configurado para copiar etiquetas a las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe etiquetar instantáneas del mismo modo que los clústeres de base de datos de Amazon RDS principales. La copia de las etiquetas garantiza que los metadatos para las instantáneas de base de datos coincidan con los clústeres de base de datos principales y que cualquier política de acceso para la instantánea de base de datos también coincida con la de la instancia de base de datos principal. 

### Corrección
<a name="neptune-8-remediation"></a>

Para copiar etiquetas en instantáneas de clústeres de bases de datos de Neptuno, [consulte Copiar etiquetas en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview) en la *Guía del usuario de Neptuno*.

## [Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad
<a name="neptune-9"></a>

**Requisitos relacionados:** 6, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 (2 NIST.800-53.r5 SC-5), NiSt.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon Neptune tiene instancias de lectura y réplica en varias zonas de disponibilidad (). AZs Se produce un error en el control si el clúster se implementa en una sola AZ.

Si una AZ no está disponible y durante los eventos de mantenimiento habituales, las réplicas de lectura sirven como destinos de conmutación por error para la instancia principal. Es decir, si la instancia principal falla, Neptune promueve una instancia de réplica de lectura para convertirla en la instancia primaria. Por el contrario, si su clúster de base de datos no incluye ninguna instancia de réplica de lectura, su clúster de base de datos seguirá sin estar disponible cuando la instancia principal falle hasta que se vuelva a crear. Volver a crear la instancia principal lleva mucho más tiempo que promover una réplica de lectura. Para garantizar una alta disponibilidad, le recomendamos que cree una o más instancias de réplica de lectura que tengan la misma clase de instancia de base de datos que la instancia principal y que estén ubicadas en una instancia diferente AZs a la principal.

### Corrección
<a name="neptune-9-remediation"></a>

*Para implementar un clúster de base de datos Neptune en varios AZs, consulte [Lectura y réplica de instancias de base de datos en un clúster de base de datos Neptune en la Guía del usuario de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Controles CSPM de Security Hub para AWS Network Firewall
<a name="networkfirewall-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Network Firewall servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad
<a name="networkfirewall-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control evalúa si un firewall gestionado a través AWS Network Firewall de él está implementado en varias zonas de disponibilidad (). AZs Se produce un error en el control si un firewall se implementa en una sola AZ.

AWS la infraestructura global incluye varias Regiones de AWS. AZs son ubicaciones aisladas y separadas físicamente dentro de cada región que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Al implementar un firewall de Network Firewall en varios AZs, puede equilibrar y transferir el tráfico entre ellos AZs, lo que le ayuda a diseñar soluciones de alta disponibilidad.

### Corrección
<a name="networkfirewall-1-remediation"></a>

**Implementación de un firewall de Network Firewall en múltiples AZs**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, en **Firewall de red**, elija **Firewalls**.

1. En la página **Firewalls**, seleccione el nombre del firewall que quiere editar.

1. En la página de detalles del firewall, elija la pestaña **Detalles del firewall**.

1. En la sección **Política asociada y VPC**, elija **Editar**

1. Para agregar una nueva AZ, elija **Agregar nueva subred**. Seleccione la AZ y la subred que quiere utilizar. Asegúrese de seleccionar al menos dos AZs.

1. Seleccione **Save**.

## [NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
<a name="networkfirewall-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.R2 3.1.20, NIst.800-171.r2 3,1131 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::LoggingConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado para un AWS Network Firewall firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.

El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.

### Corrección
<a name="networkfirewall-2-remediation"></a>

Para habilitar el registro en un firewall, consulte [Updating a firewall's logging configuration](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) en la *Guía para desarrolladores de AWS Network Firewall *.

## [NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
<a name="networkfirewall-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-171.r2 3.1.3, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (Amazon VPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.

### Corrección
<a name="networkfirewall-3-remediation"></a>

Para añadir un grupo de reglas a una política de Network Firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para obtener información sobre cómo crear y administrar grupos de reglas, consulte [Grupos de reglas en AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
<a name="networkfirewall-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (no personalizable)

Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona `Drop` o `Forward`, y da error si se selecciona `Pass`.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a `Pass` se puede permitir el tráfico no deseado.

### Corrección
<a name="networkfirewall-4-remediation"></a>

Para cambiar la política de firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para las **Acciones predeterminadas Sin estado**, seleccione **Editar**. A continuación, seleccione **Soltar** o **Reenviar a grupos de reglas con estado** como **Acción**.

## [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
<a name="networkfirewall-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.1.14, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.13.6

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (no personalizable)

Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona `Drop` o `Forward`, y da error si se selecciona `Pass`.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a `Pass` se puede permitir el tráfico no deseado.

### Corrección
<a name="networkfirewall-5-remediation"></a>

Para cambiar la política de firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para las **Acciones predeterminadas Sin estado**, seleccione **Editar**. A continuación, seleccione **Soltar** o **Reenviar a grupos de reglas con estado** como **Acción**.

## [NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
<a name="networkfirewall-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.14, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.13.6

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas sin estado contiene reglas. AWS Network Firewall El control falla si no hay reglas en el grupo de reglas.

Un grupo de reglas contiene reglas que definen cómo el firewall procesa el tráfico en la VPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.

### Corrección
<a name="networkfirewall-6-remediation"></a>

Para agregar reglas a su grupo de reglas de Network Firewall, consulte [Actualización de un grupo de reglas con estado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. En la página de detalles del firewall, en el **Grupo de reglas sin estado**, seleccione **Editar** para añadir reglas.

## [NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
<a name="networkfirewall-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**AWS Config regla:** `tagged-networkfirewall-firewall` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el firewall no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="networkfirewall-7-remediation"></a>

Para añadir etiquetas a un firewall de Network Firewall, consulte [Etiquetado de AWS Network Firewall recursos](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) en la *Guía para AWS Network Firewall desarrolladores*.

## [NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
<a name="networkfirewall-8"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config regla:** `tagged-networkfirewall-firewallpolicy` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una política de AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la política de firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política de firewall no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="networkfirewall-8-remediation"></a>

Para añadir etiquetas a una política de Network Firewall, consulte [Etiquetado de AWS Network Firewall recursos](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) en la *Guía para AWS Network Firewall desarrolladores*.

## [NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación
<a name="networkfirewall-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS Network Firewall firewall tiene habilitada la protección contra la eliminación. El control falla si la protección contra la eliminación no está habilitada en un firewall.

AWS Network Firewall es un servicio de detección de intrusos y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.

### Corrección
<a name="networkfirewall-9-remediation"></a>

Para habilitar la protección contra eliminación en un firewall de Network Firewall existente, consulte [Actualización de un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para **Cambiar las protecciones**, seleccione **Habilitar**. También puede activar la protección contra la eliminación invocando la [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API y configurando el campo en`DeleteProtection`. `true`

## [NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred
<a name="networkfirewall-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la protección contra cambios de subred está habilitada para un firewall de AWS Network Firewall . El control falla si la protección contra cambios de subred no está habilitada para el firewall.

AWS Network Firewall es un servicio de detección de intrusiones y firewall de red gestionado y con estado que puede utilizar para inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. Si habilita la protección contra cambios de subred para un firewall de Network Firewall, puede proteger el firewall contra cambios accidentales en las asociaciones de subred.

### Corrección
<a name="networkfirewall-10-remediation"></a>

Para obtener información sobre cómo habilitar la protección contra cambios de subred en un firewall existente de Network Firewall, consulte [Actualización de un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) en la *Guía del desarrollador de AWS Network Firewall *.

# Controles CSPM de Security Hub para Amazon Service OpenSearch
<a name="opensearch-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el OpenSearch servicio y los recursos de Amazon OpenSearch Service (Servicio). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
<a name="opensearch-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen habilitada encryption-at-rest la configuración. La comprobación falla si el cifrado en reposo no está habilitado.

Para añadir un nivel de seguridad adicional a los datos confidenciales, debe configurar su dominio de OpenSearch servicio para que esté cifrado en reposo. Al configurar el cifrado de datos en reposo, AWS KMS almacena y administra las claves de cifrado. Para realizar el cifrado, AWS KMS utiliza el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el cifrado de OpenSearch servicios en reposo, consulte [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) en la *Guía para desarrolladores* de *Amazon OpenSearch Service*.

### Corrección
<a name="opensearch-1-remediation"></a>

Para habilitar el cifrado en reposo para OpenSearch dominios nuevos y existentes, consulta Cómo [habilitar el cifrado de datos en reposo](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
<a name="opensearch-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** crítica

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.

Debe asegurarse de que OpenSearch los dominios no estén conectados a subredes públicas. Consulta [las políticas basadas en recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte [Prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) en la Guía del usuario de Amazon VPC.

OpenSearch los dominios implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCs proporcionan una serie de controles de red para proteger el acceso a los OpenSearch dominios, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar OpenSearch los dominios públicos VPCs a para aprovechar estos controles.

### Corrección
<a name="opensearch-2-remediation"></a>

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe [crear otro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) o deshabilitar este control.

Para obtener instrucciones, consulta Cómo [lanzar tus dominios de Amazon OpenSearch Service dentro de una VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
<a name="opensearch-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen el node-to-node cifrado activado. Este control falla si el node-to-node cifrado está deshabilitado en el dominio.

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques o similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado de los OpenSearch dominios, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.

### Corrección
<a name="opensearch-3-remediation"></a>

Para habilitar el node-to-node cifrado en un OpenSearch dominio, consulta [Habilitar el node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
<a name="opensearch-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logtype = 'error'` (no personalizable)

Este control comprueba CloudWatch si los dominios están configurados para enviar registros de errores a Logs. OpenSearch Este control falla si el registro de errores no CloudWatch está habilitado para un dominio.

Debe habilitar los registros de errores para OpenSearch los dominios y enviarlos a CloudWatch Logs para su conservación y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="opensearch-4-remediation"></a>

Para habilitar la publicación de registros, consulta [Habilitar la publicación de registros (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
<a name="opensearch-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `cloudWatchLogsLogGroupArnList`(no personalizable): Security Hub CSPM no completa este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.

Este control comprueba si los OpenSearch dominios tienen habilitado el registro de auditoría. Este control produce un error si un OpenSearch dominio no tiene activado el registro de auditoría.

Los registros de auditoría son altamente personalizables. Le permiten realizar un seguimiento de la actividad de los usuarios en sus OpenSearch clústeres, incluidos los aciertos y los errores de autenticación, las solicitudesOpenSearch, los cambios de indexación y las consultas de búsqueda entrantes.

### Corrección
<a name="opensearch-5-remediation"></a>

Para obtener instrucciones sobre cómo habilitar los registros de auditoría, consulta [Habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
<a name="opensearch-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los OpenSearch dominios están configurados con al menos tres nodos de datos y lo está. `zoneAwarenessEnabled` `true` Este control no funciona para un OpenSearch dominio si `instanceCount` es inferior a 3 o `zoneAwarenessEnabled` es`false`.

Para lograr una alta disponibilidad y tolerancia a errores a nivel de clúster, un OpenSearch dominio debe tener al menos tres nodos de datos. La implementación de un OpenSearch dominio con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

### Corrección
<a name="opensearch-6-remediation"></a>

**Para modificar la cantidad de nodos de datos de un OpenSearch dominio**

1. Inicia sesión en la AWS consola y abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Mis dominios**, elija el nombre del dominio que desee editar y elija **Editar**.

1. En **Nodos de datos**, establezca **Número de nodos** en un número superior a `3`. Si va a realizar la implementación en tres zonas de disponibilidad, establezca el número en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad. 

1. Seleccione **Enviar**.

## Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
<a name="opensearch-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Gestión del acceso seguro > Acciones confidenciales de la API restringidas

**Gravedad:** alta

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen habilitado el control de acceso detallado. El control falla si el control de acceso detallado no está habilitado. El control de acceso detallado requiere `advanced-security-options` que el parámetro esté habilitado. OpenSearch `update-domain-config`

El control de acceso detallado ofrece formas adicionales de controlar el acceso a tus datos en Amazon Service. OpenSearch 

### Corrección
<a name="opensearch-7-remediation"></a>

*Para habilitar un control de acceso detallado, consulta Control de [acceso detallado en Amazon Service en la Guía para desarrolladores OpenSearch de Amazon Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html). OpenSearch *

## [Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente
<a name="opensearch-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (no personalizable)

Este control comprueba si un punto de enlace de dominio de Amazon OpenSearch Service está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto de enlace del OpenSearch dominio no está configurado para usar la última política compatible o si HTTPs no está habilitado.

El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS. 

### Corrección
<a name="opensearch-8-remediation"></a>

Para habilitar el cifrado TLS, utilice la operación API. [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) Configure el [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo para especificar el valor de`TLSSecurityPolicy`. Para obtener más información, consulta el [Node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) en la *Guía para desarrolladores OpenSearch de Amazon Service*.

## Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
<a name="opensearch-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**AWS Config regla:** `tagged-opensearch-domain` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un dominio de Amazon OpenSearch Service tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="opensearch-9-remediation"></a>

Para añadir etiquetas a un dominio OpenSearch de servicio, consulta Cómo [trabajar con etiquetas](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
<a name="opensearch-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service tiene instalada la última actualización de software. Se produce un error en el control si hay una actualización de software disponible, pero no está instalada para el dominio.

OpenSearch Las actualizaciones de software de servicio proporcionan las últimas correcciones, actualizaciones y funciones de plataforma disponibles para el entorno. Mantener la instalación up-to-date de los parches ayuda a mantener la seguridad y la disponibilidad del dominio. Si no se adoptan medidas respecto de las actualizaciones necesarias, actualizaremos el software de servicio automáticamente después de un tiempo determinado (por lo general, dos semanas). Recomendamos programar las actualizaciones en momentos de poco tráfico en el dominio para minimizar las interrupciones del servicio. 

### Corrección
<a name="opensearch-10-remediation"></a>

Para instalar actualizaciones de software para un OpenSearch dominio, consulta Cómo [iniciar una actualización](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
<a name="opensearch-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, niST.800-53.r5 SI-13

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service está configurado con al menos tres nodos principales dedicados. El control falla si el dominio tiene menos de tres nodos principales dedicados.

OpenSearch El servicio utiliza nodos principales dedicados para aumentar la estabilidad del clúster. Un nodo principal dedicado realiza tareas de administración de clústeres, pero no contiene datos ni responde a las solicitudes de carga de datos. Le recomendamos que utilice Multi-AZ con modo de espera, lo que añade tres nodos principales dedicados a cada OpenSearch dominio de producción. 

### Corrección
<a name="opensearch-11-remediation"></a>

Para cambiar el número de nodos principales de un OpenSearch dominio, consulte [Creación y gestión de dominios de Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

# Controles CSPM de Security Hub para AWS Private CA
<a name="pca-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Private Certificate Authority (AWS Private CA) servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
<a name="pca-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS Private CA tiene una autoridad de certificación (CA) raíz deshabilitada. Se produce un error en el control si la autoridad emisora de certificados raíz está habilitada.

Con AWS Private CAél, puede crear una jerarquía de CA que incluya una CA raíz y una subordinada. CAs Debe minimizar el uso de la autoridad emisora de certificados raíz para las tareas diarias, especialmente en los entornos de producción. La CA raíz solo debe usarse para emitir certificados para empresas intermedias CAs. Esto permite almacenar la CA raíz de forma segura mientras la entidad emisora intermedia CAs realiza la tarea diaria de emitir los certificados de la entidad final.

### Corrección
<a name="pca-1-remediation"></a>

Para deshabilitar la autoridad emisora de certificados raíz, consulte [Actualización del estado de CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) en la *Guía del usuario de AWS Private Certificate Authority *.

## [PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
<a name="pca-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regla de AWS Config : ** `acmpca-certificate-authority-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una entidad emisora de certificados AWS privada tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la autoridad del certificado no tiene ninguna clave de etiqueta o si no cuenta con todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la autoridad del certificado no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="pca-2-remediation"></a>

Para añadir etiquetas a una autoridad de CA AWS privada, consulte [Añadir etiquetas para una entidad de certificación privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) en la Guía del *AWS Private Certificate Authority usuario*.

# Controles de CSPM de Security Hub para Amazon RDS
<a name="rds-controls"></a>

Estos AWS Security Hub CSPM controles evalúan los recursos de Amazon Relational Database Service (Amazon RDS) y Amazon RDS. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] La instantánea de RDS debe ser privada
<a name="rds-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instantáneas de Amazon RDS son públicas. El control falla si las instantáneas de RDS son públicas. Este control evalúa instancias de RDS, instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Una instantánea de RDS no debe ser pública a menos que se quiera. Si comparte una instantánea manual sin cifrar públicamente, estará disponible para todas las cuentas de Cuentas de AWS. Esto puede provocar una exposición no intencionada de los datos de su instancia de RDS.

Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la AWS Config regla no pueda detectar el cambio hasta dentro de 12 horas. Hasta que la AWS Config regla detecte el cambio, la comprobación se realizará aunque la configuración infrinja la regla.

Para obtener más información sobre cómo compartir una instantánea de base de datos, consulte [Cómo compartir una instantánea de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-1-remediation"></a>

Para eliminar el acceso público de las instantáneas de RDS, consulte [Compartir una instantánea](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) en la *Guía del usuario de Amazon RDS*. En **Visibilidad de las instantáneas de base de datos**, elija **Privada**.

## [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible
<a name="rds-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4 DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias de Amazon RDS son accesibles públicamente mediante la evaluación del campo `PubliclyAccessible` en el elemento de configuración de instancia.

Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienen el indicador de `PubliclyAccessible` y no se pueden evaluar. Sin embargo, este control aún puede generar resultados para estos recursos. Puede suprimir estos resultados.

El valor `PubliclyAccessible` de la configuración de la instancia de RDS indica si la instancia de base de datos es accesible públicamente. Si la instancia de base de datos se ha configurado con `PubliclyAccessible`, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.

A menos que tenga la intención de dar acceso público a su instancia de RDS, la instancia de RDS no debe configurarse con el valor `PubliclyAccessible`. Si lo hace, podría generar tráfico innecesario a su instancia de base de datos.

### Corrección
<a name="rds-2-remediation"></a>

Para eliminar el acceso público a las instancias de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS.* En **Acceso público**, elija **No**.

## [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
<a name="rds-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-7 (1), (10), NIST.800-53.r5 SI-7 (6)

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Para obtener una capa adicional de seguridad para la información confidencial en las instancias de base de datos de RDS, debe configurar las instancias de base de datos de RDS de tal manera que se cifren en reposo. Para cifrar las instancias de base de datos de RDS y las instantáneas en reposo, debe habilitar la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas. 

En las instancias de base de datos cifradas de RDS se utiliza el algoritmo de cifrado AES-256 de código estándar para cifrar los datos en el servidor que aloja la instancia de base de datos de RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado. 

El cifrado de Amazon RDS actualmente está disponible para todos los motores de bases de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancias de bases de datos. Para obtener información acerca de las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-3-remediation"></a>

Para obtener información sobre el cifrado de instancias de base de datos en Amazon RDS, consulte [Cifrar los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la *Guía del usuario de Amazon RDS*.

## Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
<a name="rds-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de base de datos de RDS está cifrada. El control falla si una instantánea de base de datos de RDS no está cifrada.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los datos de las instantáneas de RDS deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="rds-4-remediation"></a>

*Para cifrar una instantánea de RDS, consulte [Cifrar los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la Guía del usuario de Amazon RDS*. Cuando cifra una instancia de base de datos de RDS, los datos cifrados incluyen el almacenamiento subyacente de la instancia, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.

Solo se puede cifrar una instancia de base de datos de RDS al crearla, no después de que se haya creado. Sin embargo, debido a que se puede cifrar una copia de una instantánea de base de datos sin cifrar, en la práctica es posible agregar el cifrado a una instancia de base de datos sin cifrar. Es decir, puede crear una instantánea de una instancia de base de datos y, a continuación, crear una copia cifrada de esa instantánea. A continuación, se puede restaurar una instancia de base de datos a partir de la instantánea cifrada y de este modo, se tiene una copia cifrada de la instancia de base de datos original.

## Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
<a name="rds-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS. El control falla si una instancia de base de datos de RDS no está configurada con varias zonas de disponibilidad (). AZs Este control no se aplica a las instancias de base de datos de RDS que forman parte de una implementación de clúster Multi-AZ.

La configuración de las instancias de base de datos de Amazon RDS AZs ayuda a garantizar la disponibilidad de los datos almacenados. Las implementaciones en zonas de disponibilidad múltiples permiten la conmutación por error automática si hay algún problema con la disponibilidad de las zonas de disponibilidad y durante el mantenimiento regular del RDS.

### Corrección
<a name="rds-5-remediation"></a>

Para implementar sus instancias de base de datos en varias instancias AZs, [modifique una instancia de base de datos para que sea una implementación de instancia de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) en la Guía del *usuario de Amazon RDS*.

## Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
<a name="rds-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Número de segundos entre los intervalos de recopilación de métricas de supervisión  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Sin valor predeterminado  | 

Este control comprueba si la supervisión mejorada está habilitada para una instancia de base de datos de Amazon Relational Database Service (Amazon RDS). Se produce un error en el control si la supervisión mejorada no está habilitada para la instancia. Si proporciona un valor personalizado para el parámetro `monitoringInterval`, el control pasa si se recopilan métricas de supervisión mejoradas para la instancia en el intervalo especificado.

En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. El monitoreo mejorado proporciona métricas en tiempo real para el sistema operativo en el que se ejecuta la instancia de base de datos de RDS. El agente está instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.

Las métricas de monitorización mejoradas son útiles cuando desea ver cómo diferentes procesos o subprocesos en una instancia de base de datos usan la CPU. Para obtener más información, consulte [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Supervisión mejorada) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-6-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar la supervisión mejorada para su instancia de base de datos, consulte [Configuración y activación de la supervisión mejorada](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) en la *Guía del usuario de Amazon RDS*.

## Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
<a name="rds-7"></a>

**Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2**)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos RDS tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos RDS no tiene habilitada la protección contra eliminación.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Habilitar la protección contra la eliminación de clústeres es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Cuando la protección de eliminación está habilitada, no se puede eliminar un clúster de base de datos. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

### Corrección
<a name="rds-7-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de base de datos de RDS, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) en la *Guía del usuario de Amazon RDS*. En **Protección contra eliminación**, elija **Habilitar la protección contra eliminación**. 

## Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación
<a name="rds-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (no personalizable)

Este control comprueba si las instancias de base de datos de RDS que utilizan uno de los motores de bases de datos de la lista tienen habilitada la protección contra la eliminación. El control falla si una instancia de base de datos RDS no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de instancias es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Mientras la protección contra la eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

### Corrección
<a name="rds-8-remediation"></a>

Para habilitar la protección contra la eliminación de una instancia de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. En **Protección contra eliminación**, elija **Habilitar la protección contra eliminación**. 

## [RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch
<a name="rds-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de base de datos de Amazon RDS está configurada para publicar los siguientes registros en Amazon CloudWatch Logs. El control falla si la instancia no está configurada para publicar los siguientes registros en CloudWatch Logs:
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, Upgrade
+ MySQL: Auditoría, Error, General, SlowQuery
+ MariaDB: Auditoría, Error, General, SlowQuery
+ SQL Server: Error, Agent
+ Aurora: auditoría, error, general, SlowQuery
+ Aurora-MySQL: Auditoría, Error, General, SlowQuery
+ Aurora-PostgreSQL: Postgresql

Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de las bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="rds-9-remediation"></a>

Para obtener información sobre la publicación de registros de bases de datos de RDS en CloudWatch Logs, consulte [Especificar los registros que se van a publicar en CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) en la Guía del *usuario de Amazon RDS*.

## La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
<a name="rds-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de IAM no está configurada para las instancias de base de datos de RDS. Este control solo evalúa las instancias de RDS con los siguientes tipos de motor: `mysql`, `postgres`, `aurora`, `aurora-mysql`, `aurora-postgresql` y `mariadb`. Una instancia de RDS también debe estar en uno de los siguientes estados para que se genere un resultado: `available`, `backing-up`, `storage-optimization` o `storage-full`.

La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte [Autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) en la *Guía del usuario de Amazon Aurora*.

### Corrección
<a name="rds-10-remediation"></a>

Para activar la autenticación de bases de datos de IAM en una instancia de base de datos de RDS, consulte [Habilitar y deshabilitar la autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) en la *Guía del usuario de Amazon RDS*.

## Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
<a name="rds-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NiSt.800-53.r5 SI-12, NiSt.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 
|  `checkReadReplicas`  |  Comprueba si las instancias de base de datos de RDS tienen habilitadas las copias de seguridad para las réplicas de lectura  |  Booleano  |  No personalizable  |  `false`  | 

Este control comprueba si la instancia de Amazon Relational Database Service tiene habilitadas las copias de seguridad automáticas y si el periodo de retención de las copias de seguridad es superior o igual al periodo especificado. Las réplicas de lectura se excluyen de la evaluación. Se produce un error en el control si las copias de seguridad no están habilitadas para la instancia o si el periodo de retención es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y refuerzan la resiliencia de sus sistemas. Amazon RDS permite configurar instantáneas diarias del volumen de instancias completo. Para más información sobre las copias de seguridad automatizadas de Amazon RDS, consulte [Trabajo con copias de seguridad](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-11-remediation"></a>

Para habilitar copias de seguridad automatizadas para una instancia de base de datos de RDS, consulte [Habilitación de copias de seguridad automatizadas](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) en *Guía del usuario de Amazon RDS*.

## La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
<a name="rds-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon RDS tiene habilitada la autenticación de bases de datos de IAM.

La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos sin contraseña. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte [Autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) en la *Guía del usuario de Amazon Aurora*.

### Corrección
<a name="rds-12-remediation"></a>

Para habilitar la autenticación de IAM para un clúster de base de datos, consulte [Habilitar y deshabilitar la autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) en la *Guía del usuario de Amazon Aurora*. 

## Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
<a name="rds-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIst.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las actualizaciones automáticas de las versiones secundarias están habilitadas para la instancia de base de datos de RDS.

Las actualizaciones automáticas de versiones secundarias actualizan periódicamente la base de datos a versiones recientes del motor. Sin embargo, es posible que la actualización no siempre incluya la versión más reciente del motor de base de datos. Si necesita mantener las bases de datos en versiones específicas en momentos determinados, le recomendamos que las actualice manualmente a las versiones de base de datos que necesite según el calendario requerido. En caso de problemas de seguridad críticos o cuando una versión alcance su end-of-support fecha límite, Amazon RDS podría aplicar una actualización de la versión secundaria aunque no haya activado la opción de **actualización automática de la versión secundaria**. Para obtener más información, consulte la documentación de actualización de Amazon RDS correspondiente al motor de base de datos:
+ [Actualizaciones automáticas de versiones secundarias de RDS para MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Actualizaciones automáticas de versiones secundarias de RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Actualizaciones automáticas de versiones secundarias de RDS para PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Versiones de Db2 en Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Actualizaciones de versiones secundarias de Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Actualizaciones del motor de base de datos de Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Corrección
<a name="rds-13-remediation"></a>

Para habilitar las actualizaciones automáticas de las versiones secundarias de una instancia de base de datos existente, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. Para la **actualización automática de una versión secundaria**, seleccione **Sí**.

## Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores
<a name="rds-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Número de horas necesarias para hacer búsquedas de datos anteriores en un clúster Aurora MySQL  |  Double  |  De `0.1` a `72`  |  Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon Aurora tiene habilitada la característica de búsqueda de datos anteriores. Se produce un error en el control si el clúster no tiene habilitada la búsqueda de datos anteriores. Si proporciona un valor personalizado para el parámetro `BacktrackWindowInHours`, el control solo pasa si la búsqueda de datos anteriores en el clúster se hace durante el periodo especificado.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La búsqueda de datos anteriores de Aurora reduce el tiempo de recuperación de una base de datos en un punto en el tiempo. Para ello, no es necesario restaurar la base de datos.

### Corrección
<a name="rds-14-remediation"></a>

Para habilitar la búsqueda de datos anteriores de Aurora, consulte [Configuración de la búsqueda de datos anteriores](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) en la *Guía del usuario de Amazon Aurora*.

Tenga en cuenta que no puede habilitar la búsqueda de datos anteriores en un clúster existente. En su lugar, puede crear un clon que tenga habilitado la búsqueda de datos anteriores. Para obtener más información sobre las limitaciones del búsqueda de datos anteriores de Aurora, consulte la lista de limitaciones en [Descripción general de búsqueda de datos anteriores](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).

## Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad
<a name="rds-15"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NISt.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus clústeres de base de datos de RDS. El control falla si un clúster de base de datos de RDS no está implementado en varias zonas de disponibilidad (). AZs

Los clústeres de bases de datos de RDS deben configurarse para varios AZs a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas AZs permite la conmutación por error automática en caso de que se produzca un problema de disponibilidad en las zonas de disponibilidad y durante los eventos de mantenimiento habituales del RDS.

### Corrección
<a name="rds-15-remediation"></a>

Para implementar sus clústeres de base de datos en varios AZs, [modifique una instancia de base de datos para que sea un despliegue de instancias de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) en la Guía del *usuario de Amazon RDS*.

Los pasos de solución son diferentes para las bases de datos globales de Aurora. Para configurar varias zonas de disponibilidad para una base de datos global de Aurora, seleccione su clúster de base de datos. A continuación, elija **Acciones** y **Añadir lector**, y especifique varios. AZs Para obtener más información, consulte [Agregar réplicas Aurora a un clúster de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) en la *Guía del usuario de Amazon Aurora*.

## [RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos
<a name="rds-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla:** `rds-cluster-copy-tags-to-snapshots-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon Aurora está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando dichas instantáneas se crean. El control falla si el clúster de bases de datos Aurora no está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando estas se crean.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe tener visibilidad de todos los clústeres de bases de datos de Amazon Aurora para evaluar su posición de seguridad y tomar medidas ante posibles áreas de debilidad. Las instantáneas de bases de datos Aurora deben tener las mismas etiquetas que sus clústeres de bases de datos de origen. En Amazon Aurora, puede configurar un clúster de bases de datos para copiar automáticamente todas las etiquetas del clúster en sus instantáneas. Al habilitar este ajuste, las instantáneas de bases de datos heredan las mismas etiquetas que sus clústeres de origen.

### Corrección
<a name="rds-16-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon Aurora para copiar automáticamente las etiquetas en las instantáneas de bases de datos, consulte [Modificación de un clúster de bases de datos de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) en la *Guía del usuario de Amazon Aurora*.

## Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas
<a name="rds-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-instance-copy-tags-to-snapshots-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todas sus instancias de base de datos de RDS para que pueda evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que las instancias de base de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos principales.

### Corrección
<a name="rds-17-remediation"></a>

*Para copiar automáticamente las etiquetas en las instantáneas de una instancia de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la Guía del usuario de Amazon RDS*. Seleccione **Copiar etiquetas en instantáneas**

## Las instancias de RDS [RDS.18] deben implementarse en una VPC
<a name="rds-18"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC 

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-deployed-in-vpc` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon RDS está implementada en una VPC de EC2.

Las VPC proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de enlace de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree las instancias de RDS en una VPC de EC2.

### Corrección
<a name="rds-18-remediation"></a>

Para obtener instrucciones sobre cómo mover instancias de RDS a una VPC, consulte [Actualización de la VPC de una instancia de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) en la *Guía del usuario de Amazon RDS*.

## Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos
<a name="rds-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-cluster-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una suscripción a eventos de Amazon RDS existente para clústeres de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:

```
DBCluster: ["maintenance","failure"]
```

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-19-remediation"></a>

Para suscribirse a las notificaciones de eventos del clúster de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Clústeres  | 
|  Clústeres que se van a incluir  |  Todos los clústeres  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos
<a name="rds-20"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-instance-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una suscripción a eventos de Amazon RDS existente para instancias de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:

```
DBInstance: ["maintenance","configuration change","failure"]
```

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-20-remediation"></a>

Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  instancias  | 
|  Instancias que se van a incluir  |  Todas las instancias  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos
<a name="rds-21"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-pg-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

```
DBParameterGroup: ["configuration change"]
```

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-21-remediation"></a>

Para suscribirse a las notificaciones de eventos del grupo de parámetros de la base de datos de RDS, consulte [Suscripción a la notificación de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Grupos de parámetros  | 
|  Grupos de parámetros que se van a incluir  |  Todos los grupos de parámetros  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos
<a name="rds-22"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-sg-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

```
DBSecurityGroup: ["configuration change","failure"]
```

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-22-remediation"></a>

Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Grupos de seguridad  | 
|  Grupos de seguridad que se van a incluir  |  Todos los grupos de seguridad  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
<a name="rds-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-no-default-ports` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster o instancia de RDS utiliza un puerto distinto del puerto predeterminado del motor de base de datos. El control falla si el clúster o la instancia de RDS utilizan el puerto predeterminado. Este control no se aplica a las instancias de RDS que forman parte de un clúster.

Si utiliza un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar la información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o instancia de RDS u obtener información adicional sobre la aplicación.

Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se utilizaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.

### Corrección
<a name="rds-23-remediation"></a>

Para modificar el puerto predeterminado de una instancia de base de datos de RDS existente, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. Para modificar el puerto predeterminado de un clúster de base de datos de RDS existente, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) en la *Guía del usuario de Amazon Aurora*. Para el **Puerto de base de datos**, cambie el valor del puerto por un valor que no sea el predeterminado.

## Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado
<a name="rds-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon RDS ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). Esta regla fallará si el nombre de usuario del administrador está establecido en el valor predeterminado.

Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse durante la creación de la base de datos de RDS. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

### Corrección
<a name="rds-24-remediation"></a>

Para cambiar el nombre de usuario de administrador asociado al clúster de base de datos de Amazon RDS, [cree un nuevo clúster de base de datos de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) y cambie el nombre de usuario de administrador predeterminado al crear la base de datos.

## Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado
<a name="rds-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS) con respecto al valor predeterminado. El control falla si el nombre de usuario administrativo está establecido en el valor predeterminado. El control no se aplica a motores del tipo Neptune (Neptune-DB) o DocDB (DocumentDB), ni a las instancias de RDS que forman parte de un clúster. 

Los nombres de usuario administrativos predeterminados en las bases de datos de Amazon RDS son de dominio público. Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario administrativo predeterminado por un valor único para reducir el riesgo de accesos no deseados.

### Corrección
<a name="rds-25-remediation"></a>

Para cambiar el nombre de usuario administrativo asociado a una instancia de base de datos de RDS, [cree primero una nueva instancia de base de datos de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.

## Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad
<a name="rds-26"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Requisitos relacionados: (2), NiSt.800-53.r5 SI-12, NiSt.800-53.r5 SI-13 (5)** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control produce un `PASSED` resultado si el parámetro está establecido en true y el recurso utiliza AWS Backup Vault Lock.  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si las instancias de base de datos de Amazon RDS están cubiertas por un plan de copias de seguridad. Se produce un error en este control si la instancia de base de datos de RDS no está cubierta por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo se activará si la instancia está guardada en una bóveda AWS Backup cerrada con llave.

**nota**  
Este control no evalúa las instancias de Neptune ni las de DocumentDB. Tampoco evalúa las instancias de bases de datos de RDS que son miembros de un clúster.

AWS Backup es un servicio de copias de seguridad totalmente gestionado que centraliza y automatiza las copias de seguridad de todos los datos. Servicios de AWS Con él AWS Backup, puede crear políticas de respaldo denominadas planes de respaldo. Puede utilizar estos planes para definir los requisitos de copia de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de instancias de base de datos de RDS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

### Corrección
<a name="rds-26-remediation"></a>

Para añadir una instancia de base de datos de RDS a un plan de AWS Backup respaldo, consulte [Asignación de recursos a un plan de respaldo](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) en la Guía para *AWS Backup desarrolladores*.

## Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
<a name="rds-27"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de RDS está cifrado en reposo. El control falla si un clúster de base de datos de RDS no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de los clústeres de bases de datos de RDS protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

### Corrección
<a name="rds-27-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de base de datos de RDS. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Cifrado de un clúster de base de datos de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) en la *Guía del usuario de Amazon Aurora*.

## [RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
<a name="rds-28"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla:** `tagged-rds-dbcluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-28-remediation"></a>

Para agregar etiquetas a un clúster de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
<a name="rds-29"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**AWS Config regla:** `tagged-rds-dbclustersnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instantánea de clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea de clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-29-remediation"></a>

Para agregar etiquetas a la instantánea de clúster de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
<a name="rds-30"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `tagged-rds-dbinstance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instancia de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instancia de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instancia de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-30-remediation"></a>

Para agregar etiquetas a una instancia de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
<a name="rds-31"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSecurityGroup`

**AWS Config regla:** `tagged-rds-dbsecuritygroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de seguridad de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de seguridad de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-31-remediation"></a>

Para agregar etiquetas a un grupo de seguridad de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
<a name="rds-32"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSnapshot`

**AWS Config regla:** `tagged-rds-dbsnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instantánea de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-32-remediation"></a>

Para agregar una instantánea de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
<a name="rds-33"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSubnetGroup`

**AWS Config regla:** `tagged-rds-dbsubnetgroups` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de subredes de bases de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de subredes de bases de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes de bases de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-33-remediation"></a>

Para agregar etiquetas a un grupo de subredes de bases de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch
<a name="rds-34"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos Amazon Aurora MySQL está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no está configurado para publicar los registros de auditoría en CloudWatch Logs. El control no genera resultados para los clústeres de base de datos Aurora sin servidor v1.

Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad. Al configurar un clúster de base de datos Aurora MySQL para publicar registros de auditoría en un grupo de CloudWatch registros de Amazon Logs, puede realizar un análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y ver las métricas en CloudWatch.

**nota**  
Una forma alternativa de publicar los registros de auditoría en CloudWatch Logs consiste en habilitar la auditoría avanzada y configurar el parámetro de base de datos a nivel de clúster en. `server_audit_logs_upload` `1` El valor predeterminado de `server_audit_logs_upload parameter` es `0`. Sin embargo, le recomendamos que utilice las siguientes instrucciones de corrección para pasar este control.

### Corrección
<a name="rds-34-remediation"></a>

Para publicar los registros de auditoría del clúster de base de datos Aurora MySQL en CloudWatch Logs, consulte [Publicar registros de Amazon Aurora MySQL en Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) en la *Guía del usuario de Amazon Aurora*.

## Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias
<a name="rds-35"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para un clúster de base de datos de Amazon RDS Multi-AZ. El control lanza un error si la actualización automática de la versión secundaria no está habilitada para un clúster de base de datos en varias zonas de disponibilidad.

RDS proporciona la actualización automática de las versiones secundarias para que pueda mantener actualizado el clúster de base de datos en varias zonas de disponibilidad. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en los clústeres de bases de datos de RDS, el clúster, junto con las instancias del clúster, recibirá actualizaciones automáticas de la versión secundaria cuando haya nuevas versiones disponibles. Las actualizaciones se aplican automáticamente durante el período de mantenimiento.

### Corrección
<a name="rds-35-remediation"></a>

Para habilitar la actualización automática de las versiones secundarias en clústeres de bases de datos en varias zonas de disponibilidad, consulte [Modificación de un clúster de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch
<a name="rds-36"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Lista separada por comas de los tipos de registro que se van a publicar en Logs CloudWatch   |  StringList  |  No personalizable  |  `postgresql`  | 

Este control comprueba si una instancia de base de datos de Amazon RDS for PostgreSQL está configurada para publicar registros en Amazon Logs. CloudWatch El control falla si la instancia de base de datos PostgreSQL no está configurada para publicar los tipos de registro mencionados en `logTypes` el parámetro en Logs. CloudWatch 

El registro de base de datos proporciona detalles sobre las solicitudes realizadas a una instancia de RDS. PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar un análisis de los datos de registro en tiempo real. CloudWatch Logs retiene los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas enCloudWatch.

### Corrección
<a name="rds-36-remediation"></a>

*Para publicar registros de instancias de base de datos de PostgreSQL en Logs, consulte CloudWatch [Publicar registros de PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs).*

## [RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch
<a name="rds-37"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos PostgreSQL de Amazon Aurora está configurado para publicar registros en Amazon Logs. CloudWatch El control falla si el clúster de base de datos Aurora PostgreSQL no está configurado para publicar registros de PostgreSQL en Logs. CloudWatch 

El registro de base de datos proporciona detalles sobre las solicitudes realizadas a un clúster de RDS. Aurora PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs retiene los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas en CloudWatch.

### Corrección
<a name="rds-37-remediation"></a>

*Para publicar los registros del clúster de base de datos Aurora PostgreSQL en Logs, consulte CloudWatch Publicar registros de [Aurora PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html).*

## [RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
<a name="rds-38"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una conexión a una instancia Amazon RDS for PostgreSQL de base de datos (DB) está cifrada en tránsito. El control falla si el parámetro `rds.force_ssl`, correspondiente al grupo de parámetros asociado con la instancia, está configurado en `0` (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="rds-38-remediation"></a>

Para exigir que todas las conexiones a la instancia de base de datos RDS para PostgreSQL usen SSL, consulte [Uso de SSL con una instancia de base de datos PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
<a name="rds-39"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una conexión a una instancia Amazon RDS for MySQL de base de datos (DB) está cifrada en tránsito. El control falla si el parámetro `rds.require_secure_transport`, correspondiente al grupo de parámetros asociado con la instancia, está configurado en `0` (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="rds-39-remediation"></a>

Para exigir que todas las conexiones a la instancia de base de datos de RDS para MySQL usen SSL, consulte [Compatibilidad con SSL/TLS para instancias de bases de datos MySQL en Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch
<a name="rds-40"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Una lista de los tipos de registros que una instancia de base de datos de RDS para SQL Server debe configurarse para publicar en Logs. CloudWatch Este control falla si una instancia de base de datos no está configurada para publicar un tipo de registro especificado en la lista.  |  EnumList (máximo de 2 elementos)  |  `agent`, `error`  |  `agent`, `error`  | 

Este control comprueba si una instancia de base de datos de Amazon RDS for Microsoft SQL Server está configurada para publicar registros en CloudWatch Amazon Logs. El control falla si la instancia de base de datos de RDS para SQL Server no está configurada para publicar registros en Logs. CloudWatch Puede indicar, si así lo desea, los tipos de registros que la instancia de base de datos debe publicar.

El registro de base de datos proporciona registros detallados de las solicitudes hechas a una instancia de base de datos de Amazon RDS. La publicación de registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis de los datos de registro en tiempo real. CloudWatch Logs conserva los registros en un almacenamiento muy duradero. Además, esta capacidad permite configurar alarmas para errores que puedan presentarse, como reinicios frecuentes registrados en el registro de errores. Del mismo modo, puede configurar alarmas para errores o advertencias registrados en los registros del agente de SQL Server relacionados con trabajos del agente de SQL.

### Corrección
<a name="rds-40-remediation"></a>

Para obtener información sobre la publicación de registros en CloudWatch los registros de una instancia de base de datos de RDS para SQL Server, consulte los archivos de [registro de bases de datos de Amazon RDS para Microsoft SQL Server en *la Guía del usuario de Amazon Relational* Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) Service.

## [RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
<a name="rds-41"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si la conexión a una instancia de base de datos de Amazon RDS para Microsoft SQL Server está cifrada en tránsito. El control falla si el parámetro `rds.force_ssl` del grupo de parámetros asociado con la instancia está configurado en `0 (off)`.

Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.

### Corrección
<a name="rds-41-remediation"></a>

Para obtener información sobre cómo habilitar SSL/TLS las conexiones a instancias de base de datos de Amazon RDS que ejecutan Microsoft SQL Server, consulte [Uso de SSL con una instancia de base de datos de Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) en la Guía del usuario de *Amazon Relational Database Service*.

## [RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch
<a name="rds-42"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Una lista de los tipos de registros que una instancia de base de datos de MariaDB debe configurarse para publicar en Logs. CloudWatch El control genera un resultado `FAILED` si la instancia no está configurada para publicar alguno de los tipos de registros especificados en la lista.  |  EnumList (máximo de 4 elementos)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Este control comprueba si una instancia de base de datos Amazon RDS for MariaDB está configurada para publicar determinados tipos de registros en Amazon Logs. CloudWatch El control falla si la instancia de base de datos MariaDB no está configurada para publicar los registros en Logs. CloudWatch Puede indicar, si así lo desea, los tipos de registros que la instancia de MariaDB debe publicar.

El registro de base de datos proporciona información detallada sobre las solicitudes realizadas a una instancia de Amazon RDS para MariaDB. La publicación de registros en Amazon CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. Además, CloudWatch Logs conserva los registros en un almacenamiento duradero, lo que permite realizar revisiones y auditorías de seguridad, acceso y disponibilidad. Con CloudWatch Logs, también puede crear alarmas y revisar las métricas.

### Corrección
<a name="rds-42-remediation"></a>

*Para obtener información sobre cómo configurar una instancia de base de datos Amazon RDS for MariaDB para publicar registros en Amazon Logs, [consulte Publicar registros de MariaDB en CloudWatch Amazon Logs en la Guía CloudWatch del usuario de Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*

## [RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
<a name="rds-43"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBProxy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si un proxy de bases de datos de Amazon RDS exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS subyacente. El control falla si el proxy no exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS.

Amazon RDS Proxy puede actuar como una capa adicional de seguridad entre las aplicaciones cliente y las instancias de bases de datos de RDS subyacentes. Por ejemplo, se puede conectar a un proxy de RDS con TLS 1.3, incluso si la instancia de base de datos subyacente solo admite una versión anterior de TLS. Al utilizar RDS Proxy, puede imponer requisitos estrictos de autenticación para las aplicaciones de base de datos.

### Corrección
<a name="rds-43-remediation"></a>

Para obtener información sobre cómo modificar la configuración de un proxy de Amazon RDS para exigir TLS, consulte la [Modificación de un proxy de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
<a name="rds-44"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si las conexiones a una instancia de base de datos de Amazon RDS para MariaDB están cifradas en tránsito. El control falla si el grupo de parámetros de base de datos asociado con la instancia de base de datos no está sincronizado o si el parámetro `require_secure_transport` del grupo de parámetros no está configurado en `ON`.

**nota**  
Este control no evalúa instancias de bases de datos de Amazon RDS que utilizan versiones de MariaDB anteriores a la versión 10.5. El parámetro `require_secure_transport` se admite únicamente para versiones de MariaDB 10.5 y posteriores.

Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.

### Corrección
<a name="rds-44-remediation"></a>

*Para obtener información sobre cómo habilitar SSL/TLS las conexiones a una instancia de base de datos de Amazon RDS para MariaDB[, SSL/TLS consulte Obligaciones para todas las conexiones a una instancia de base de datos de MariaDB en la Guía del usuario de Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*

## [RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría
<a name="rds-45"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIst.800-53.r5 SI-3 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon Aurora MySQL tiene habilitado el registro de auditoría. El control falla si el grupo de parámetros de base de datos asociado al clúster de base de datos no está sincronizado, si el parámetro `server_audit_logging` no está configurado en `1` o si el parámetro `server_audit_events` está configurado en un valor vacío.

Los registros de bases de datos pueden ayudar con auditorías de seguridad y acceso, y contribuir al diagnóstico de problemas de disponibilidad. Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad.

### Corrección
<a name="rds-45-remediation"></a>

Para obtener información sobre cómo habilitar el registro en un clúster de base de datos Amazon Aurora MySQL, consulte [Publicar registros de Amazon Aurora MySQL en Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) en la *Guía del usuario de Amazon Aurora*.

## [RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet
<a name="rds-46"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si una instancia de base de datos de Amazon RDS está implementada en una subred pública que tiene una ruta hacia una puerta de enlace de Internet. El control falla si la instancia de base de datos de RDS está implementada en una subred que tiene una ruta hacia una puerta de enlace de Internet y el destino está configurado en `0.0.0.0/0` o `::/0`.

Al aprovisionar los recursos de Amazon RDS en subredes privadas, puede evitar que los recursos de RDS reciban tráfico entrante desde Internet pública, lo cual puede prevenir accesos no intencionados a las instancias de bases de datos de RDS. Si los recursos de RDS se aprovisionan en una subred pública que está abierta a Internet, estos podrían ser vulnerables a riesgos como la filtración de datos.

### Corrección
<a name="rds-46-remediation"></a>

Para obtener información sobre cómo aprovisionar una subred privada para una instancia de base de datos de Amazon RDS, consulte la [Uso de una instancia de base de datos en una VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos
<a name="rds-47"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon RDS para PostgreSQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro `CopyTagsToSnapshot` está configurado en `false` para el clúster de bases de datos de RDS para PostgreSQL.

Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.

### Corrección
<a name="rds-47-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para PostgreSQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte la [Etiquetado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos
<a name="rds-48"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon RDS para MySQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro `CopyTagsToSnapshot` está configurado en `false` para el clúster de bases de datos de RDS para MySQL.

Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.

### Corrección
<a name="rds-48-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para MySQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte [Etiquetado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente
<a name="rds-50"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El período mínimo de retención de copias de seguridad en días que debe comprobar el control  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de base de datos de RDS tiene un período mínimo de retención de copias de seguridad. El control falla si el período de retención de la copia de seguridad es inferior al valor del parámetro especificado. A menos que proporciones un valor de parámetro personalizado, Security Hub usa un valor predeterminado de 7 días.

Este control comprueba si un clúster de base de datos de RDS tiene un período mínimo de retención de copias de seguridad. El control falla si el período de retención de la copia de seguridad es inferior al valor del parámetro especificado. A menos que proporciones un valor de parámetro de cliente, Security Hub utiliza un valor predeterminado de 7 días. Este control se aplica a todos los tipos de clústeres de bases de datos de RDS, incluidos el clúster de base de datos Aurora, los clústeres de DocumentDB, los clústeres de NeptuneDB, etc.

### Corrección
<a name="rds-50-remediation"></a>

Para configurar el período de retención de la copia de seguridad para un clúster de base de datos de RDS, modifique la configuración del clúster y establezca el período de retención de la copia de seguridad en al menos 7 días (o el valor especificado en el parámetro de control). Para obtener instrucciones detalladas, consulte el [período de retención de Backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) en la Guía del *usuario de Amazon Relational Database Service*. Para los clústeres de base [de datos Aurora, consulte Información general sobre cómo realizar copias de seguridad y restaurar un clúster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) de base de datos *Aurora en la Guía del usuario de Amazon Aurora para Aurora*. Para otros tipos de clústeres de bases de datos (por ejemplo, clústeres de DocumentDB), consulte la guía del usuario del servicio correspondiente para saber cómo actualizar el período de retención de la copia de seguridad del clúster. 

# Controles CSPM de Security Hub para Amazon Redshift
<a name="redshift-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
<a name="redshift-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa el campo `PubliclyAccessible` del elemento de configuración del clúster. 

El atributo de la configuración del clúster de Amazon Redshift `PubliclyAccessible` indica si el clúster es de acceso público. Si el clúster se configuró con `PubliclyAccessible` en `true`, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública.

Cuando el clúster no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada. A menos que desee que su clúster sea de acceso público, el clúster no debe configurarse con el valor `PubliclyAccessible` establecido como `true`.

### Corrección
<a name="redshift-1-remediation"></a>

Para actualizar un clúster de Amazon Redshift para inhabilitar el acceso público, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Establezca **Accesible públicamente** en **No**.

## Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
<a name="redshift-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para utilizar el cifrado en tránsito. La comprobación no se realiza correctamente si el parámetro de clúster de Amazon Redshift `require_SSL` no se ha establecido como `True`.

El TLS se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. 

### Corrección
<a name="redshift-2-remediation"></a>

Para actualizar un grupo de parámetros de Amazon Redshift para que requiera el cifrado, consulte [Modificación de un grupo de parámetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) en la *Guía de administración de Amazon Redshift*. Establecer `require_ssl` como **True**.

## Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
<a name="redshift-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NISt.800-53.r5 SI-13 NIST.800-53.r5 SC-7 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Periodo mínimo de retención de instantáneas en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de Amazon Redshift tiene habilitadas las instantáneas automatizadas y si el periodo de retención es superior o igual al periodo especificado. Se produce un error en el control si las instantáneas automatizadas no están habilitadas para el clúster o si el periodo de retención es inferior al periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de instantáneas, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y conservadas durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte [Instantáneas automatizadas](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) en la *Guía de administración de Amazon Redshift*.

### Corrección
<a name="redshift-3-remediation"></a>

Para actualizar el período de retención de instantáneas de un clúster de Amazon Redshift, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Para **Copia de seguridad**, establezca la **Retención de instantáneas** en un valor de 7 o superior.

## Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
<a name="redshift-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regla:** `redshift-cluster-audit-logging-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si un clúster de Amazon Redshift tiene activado el registro de auditoría.

El registro de auditoría de Amazon Redshift proporciona información adicional acerca de las conexiones y las actividades de los usuarios en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, consulte [Registro de auditoría de base de datos](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) en la *Guía de administración de Amazon Redshift*.

### Corrección
<a name="redshift-4-remediation"></a>

Para configurar el registro de auditoría para un clúster de Amazon Redshift, consulte [Configuración de la auditoría mediante la consola](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) en la *Guía de administración de Amazon Redshift*.

## Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales
<a name="redshift-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIst.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `allowVersionUpgrade = true` (no personalizable)

Este control comprueba si las actualizaciones automáticas de las versiones principales están habilitadas para el clúster de Amazon Redshift.

La activación de las actualizaciones automáticas de las versiones principales garantiza que las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift se instalen durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="redshift-6-remediation"></a>

Para solucionar este problema AWS CLI, utilice el comando Amazon `modify-cluster` Redshift y `--allow-version-upgrade` defina el atributo. `clustername`es el nombre de su clúster de Amazon Redshift.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
<a name="redshift-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Acceso privado a la API

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon Redshift ha habilitado `EnhancedVpcRouting`.

El Enhanced VPC Routing fuerza a todo `COPY` y el tráfico de `UNLOAD` entre el clúster y los repositorios de datos para que pase a través de su VPC. A continuación, puede utilizar las funciones de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar Registros de flujo de VPC para monitorear el tráfico de red.

### Corrección
<a name="redshift-7-remediation"></a>

Para obtener instrucciones de corrección detalladas, consulte [Habilitar el enrutamiento de VPC mejorado](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) en la *Guía de administración de Amazon Redshift*.

## Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado
<a name="redshift-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se ha establecido como `awsuser`.

Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse al configurarlos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

### Corrección
<a name="redshift-8-remediation"></a>

No se puede cambiar el nombre de usuario de administración de su clúster de Amazon Redshift después de crearlo. Para crear un clúster nuevo con un nombre de usuario que no sea el predeterminado, consulte [Paso 1: crear un clúster de Amazon Redshift de muestra](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) en la *Guía de introducción a Amazon Redshift*.

## Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
<a name="redshift-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los clústeres de Amazon Redshift están cifrados en reposo. El control falla si un clúster de Redshift no está cifrado en reposo o si la clave de cifrado es diferente de la clave proporcionada en el parámetro de la regla.

En Amazon Redshift, puede activar el cifrado de la base de datos de los clústeres para proteger los datos en reposo. Cuando activa el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas. El cifrado de los datos en reposo es una práctica recomendada, ya que añade una capa de administración del acceso a los datos. El cifrado de los clústeres de Redshift en reposo reduce el riesgo de que un usuario no autorizado pueda acceder a los datos almacenados en el disco.

### Corrección
<a name="redshift-10-remediation"></a>

Para modificar un clúster de Redshift para que utilice el cifrado de KMS, consulte [Cambiar el cifrado de clústeres](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.11] Los clústeres de Redshift deben etiquetarse
<a name="redshift-11"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regla:** `tagged-redshift-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-11-remediation"></a>

Para agregar etiquetas a un clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
<a name="redshift-12"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::EventSubscription`

**AWS Config regla:** `tagged-redshift-eventsubscription` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-12-remediation"></a>

Para agregar etiquetas a una suscripción a notificaciones de eventos de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
<a name="redshift-13"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`

**AWS Config regla:** `tagged-redshift-clustersnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-13-remediation"></a>

Para agregar etiquetas a la instantánea del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
<a name="redshift-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config regla:** `tagged-redshift-clustersubnetgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un grupo de subredes del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de subredes del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes del clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-14-remediation"></a>

Para agregar etiquetas a un grupo de subredes del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos
<a name="redshift-15"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad asociado a un clúster de Amazon Redshift ha establecido reglas de entrada que permiten acceder al puerto del clúster desde Internet (0.0.0.0/0 o ::/0). El control lanza un error si las reglas de entrada del grupo de seguridad permiten el acceso al puerto del clúster desde Internet.

Permitir el acceso al puerto del clúster de Redshift (dirección IP con el sufijo /0) sin restricciones puede provocar un acceso no autorizado o incidentes de seguridad. Recomendamos aplicar el principio de acceso con privilegio mínimo al crear grupos de seguridad y configurar las reglas de entrada.

### Corrección
<a name="redshift-15-remediation"></a>

Para restringir la entrada en el puerto del clúster de Redshift a orígenes restringidos, consulte [Trabajar con reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) en la *Guía del usuario de Amazon VPC*. Actualice las reglas en las que el rango de puertos coincida con el puerto del clúster de Redshift y el rango de puertos IP sea 0.0.0.0/0.

## [Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad
<a name="redshift-16"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un grupo de subredes de un clúster de Amazon Redshift tiene subredes de más de una zona de disponibilidad (AZ). El control falla si el grupo de subredes del clúster no tiene subredes de al menos dos subredes diferentes. AZs

La configuración de subredes en varias redes AZs ayuda a garantizar que su almacén de datos de Redshift pueda seguir funcionando incluso cuando se produzcan fallos.

### Corrección
<a name="redshift-16-remediation"></a>

*Para modificar un grupo de subredes de clústeres de Redshift para que abarque varios AZs, consulte [Modificación de un grupo de subredes de clústeres en la Guía de administración](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) de Amazon Redshift.*

## [Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
<a name="redshift-17"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un grupo de parámetros de clúster de Amazon Redshift tiene las claves de etiquetas especificadas por el parámetro `requiredKeyTags`. El control falla si el grupo de parámetros no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si el grupo de parámetros no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="redshift-17-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un grupo de parámetros de clúster de Amazon Redshift, consulte la [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
<a name="redshift-18"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si las implementaciones en múltiples zonas de disponibilidad (Multi-AZ) están habilitadas para un clúster de Amazon Redshift. El control falla si las implementaciones Multi-AZ no están habilitadas para el clúster de Amazon Redshift.

Amazon Redshift admite implementaciones en múltiples zonas de disponibilidad (Multi-AZ) para clústeres aprovisionados. Si las implementaciones Multi-AZ están habilitadas para un clúster, un almacén de datos de Amazon Redshift puede continuar en funcionamiento en situaciones de falla cuando ocurre un evento inesperado en una zona de disponibilidad (AZ). Una implementación Multi-AZ aprovisiona recursos de computación en más de una zona de disponibilidad y permite acceder a estos recursos de computación mediante un único punto de conexión. En caso de una falla completa en una zona de disponibilidad, los recursos de computación restantes en otra zona estarán disponibles para continuar el procesamiento de las cargas de trabajo. Puede convertir un almacén de datos de una sola zona de disponibilidad (Single-AZ) existente en un almacén de datos Multi-AZ. Luego se aprovisionan recursos de computación adicionales en una segunda zona de disponibilidad.

### Corrección
<a name="redshift-18-remediation"></a>

Para obtener información sobre cómo configurar implementaciones Multi-AZ para un clúster de Amazon Redshift, consulte la [Conversión de un almacén de datos Single-AZ en un almacén de datos Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) en la *Guía de administración de Amazon Redshift*.

# Controles CSPM de Security Hub para Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift Serverless. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado
<a name="redshiftserverless-1"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el enrutamiento de VPC mejorado está habilitado para un grupo de trabajo de Amazon Redshift sin servidor. El control falla si el enrutamiento de VPC mejorado está desactivado para el grupo de trabajo.

Si el enrutamiento de VPC mejorado está deshabilitado para un grupo de trabajo sin servidor de Amazon Redshift, Amazon Redshift direcciona el tráfico a través de Internet, incluido el tráfico a otros servicios de la red. AWS Si habilita el enrutamiento de VPC mejorado para un grupo de trabajo, Amazon Redshift fuerza todo el tráfico `COPY` y `UNLOAD` entre el clúster y los repositorios de datos a pasar por la nube virtual privada (VPC), basada en el servicio Amazon VPC. Con el enrutamiento de VPC mejorado, puede usar características estándar de VPC para controlar el flujo de datos entre el clúster de Amazon Redshift y otros recursos. Esto incluye funciones como los grupos de seguridad de VPC y las políticas de puntos finales, las listas de control de acceso a la red (ACLs) y los servidores del sistema de nombres de dominio (DNS). También puede usar los registros de flujo de VPC para supervisar el tráfico `COPY` y `UNLOAD`.

### Corrección
<a name="redshiftserverless-1-remediation"></a>

Para obtener información sobre el enrutamiento de VPC mejorado y sobre cómo habilitarlo para un grupo de trabajo, consulte [Control del tráfico de red con el enrutamiento de VPC mejorado de Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL
<a name="redshiftserverless-2"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si las conexiones a un grupo de trabajo de Amazon Redshift sin servidor deben requerir cifrar los datos en tránsito. El control falla si el parámetro de configuración `require_ssl` del grupo de trabajo está configurado en `false`.

Un grupo de trabajo sin servidor de Amazon Redshift es un conjunto de recursos informáticos que agrupa recursos informáticos, como grupos de subredes de RPUs VPC y grupos de seguridad. Las propiedades de un grupo de trabajo incluyen configuraciones de red y seguridad. Estas configuraciones especifican si las conexiones a un grupo de trabajo deben requerir el uso de SSL para cifrar los datos en tránsito.

### Corrección
<a name="redshiftserverless-2-remediation"></a>

Para obtener información sobre cómo actualizar las configuraciones de un grupo de trabajo de Amazon Redshift sin servidor para requerir conexiones SSL, consulte [Conexión a Amazon Redshift sin servidor](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público
<a name="redshiftserverless-3"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el acceso público está desactivado para un grupo de trabajo de Amazon Redshift sin servidor. Evalúa la propiedad `publiclyAccessible` de un grupo de trabajo de Redshift sin servidor. El control falla si el acceso público está habilitado (`true`) para el grupo de trabajo.

La configuración de acceso público (`publiclyAccessible`) de un grupo de trabajo de Amazon Redshift sin servidor especifica si se puede acceder al grupo de trabajo desde una red pública. Si el acceso público está habilitado (`true`) para un grupo de trabajo, Amazon Redshift crea una dirección IP elástica que hace que el grupo de trabajo sea accesible públicamente desde fuera de la VPC. Si no desea que un grupo de trabajo sea accesible públicamente, desactive el acceso público para ese grupo de trabajo.

### Corrección
<a name="redshiftserverless-3-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de acceso público de un grupo de trabajo de Amazon Redshift sin servidor, consulte [Visualización de las propiedades de un grupo de trabajo](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="redshiftserverless-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), 2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NISt.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS de la lista.  |  StringList (máximo de 3 elementos)  |  De 1 a 3 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Sin valor predeterminado  | 

Este control verifica si un espacio de nombres de Amazon Redshift sin servidor está cifrado en reposo con una AWS KMS key administrada por el cliente. El control falla si el espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

En Amazon Redshift sin servidor, un espacio de nombres define un contenedor lógico para objetos de base de datos. Este control comprueba periódicamente si la configuración de cifrado de un espacio de nombres especifica una clave de KMS administrada por el cliente AWS KMS key, en lugar de una AWS administrada, para el cifrado de los datos del espacio de nombres. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y desactivar la clave.

### Corrección
<a name="redshiftserverless-4-remediation"></a>

*Para obtener información sobre cómo actualizar la configuración de cifrado de un espacio de nombres de Amazon Redshift Serverless y especificar un espacio de nombres gestionado por el cliente AWS KMS key, consulte [Cambiar el espacio de nombres de un espacio de nombres en la AWS KMS key Guía](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) de administración de Amazon Redshift.*

## [RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado
<a name="redshiftserverless-5"></a>

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor es el nombre de administrador predeterminado, `admin`. El control falla si el nombre de usuario de administrador del espacio de nombres de Redshift sin servidor es `admin`. 

Al crear un espacio de nombres de Amazon Redshift sin servidor, debe especificar un nombre de usuario de administrador personalizado para el espacio de nombres. El nombre de usuario de administrador predeterminado es de conocimiento público. Al especificar un nombre de usuario de administrador personalizado, puede, por ejemplo, ayudar a mitigar el riesgo o la efectividad de ataques de fuerza bruta contra el espacio de nombres.

### Corrección
<a name="redshiftserverless-5-remediation"></a>

Puede cambiar el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor mediante la consola o la API de Amazon Redshift sin servidor. Para cambiarlo mediante la consola, seleccione la configuración del espacio de nombres y luego seleccione **Editar credenciales de administrador** en el menú **Acciones**. [Para cambiarlo mediante programación, utilice la [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operación o, si está utilizando la, ejecute el comando update-namespace. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) Si cambia el nombre de usuario de administrador, también debe cambiar la contraseña de administrador al mismo tiempo.

## [RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch
<a name="redshiftserverless-6"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un espacio de nombres Amazon Redshift Serverless está configurado para exportar los registros de conexión y de usuario a Amazon Logs. CloudWatch El control falla si el espacio de nombres Redshift Serverless no está configurado para exportar los registros a Logs. CloudWatch 

Si configura Amazon Redshift Serverless para que exporte los datos del registro de conexión (`connectionlog`) y del registro de usuario (`userlog`) a un grupo de CloudWatch registros de Amazon Logs, podrá recopilar y almacenar sus registros de registro en un almacenamiento duradero que permita realizar revisiones y auditorías de seguridad, acceso y disponibilidad. Con CloudWatch Logs, también puede realizar análisis de los datos de registro en tiempo real y utilizarlos CloudWatch para crear alarmas y revisar métricas.

### Corrección
<a name="redshiftserverless-6-remediation"></a>

Para exportar los datos de registro de un espacio de nombres Amazon Redshift Serverless a CloudWatch Amazon Logs, se deben seleccionar los registros correspondientes para su exportación en los ajustes de configuración de los registros de auditoría del espacio de nombres. Para obtener información sobre cómo actualizar estas configuraciones, consulte [Edición de la seguridad y el cifrado](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) en la *Guía de administración de Amazon Redshift*.

# Controles CSPM de Security Hub para Route 53
<a name="route53-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Route 53.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
<a name="route53-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Route53::HealthCheck`

**AWS Config regla:** `tagged-route53-healthcheck` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una comprobación de estado de Amazon Route 53 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la comprobación de estado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la comprobación de estado no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="route53-1-remediation"></a>

Para agregar etiquetas a una comprobación de estado de Route 53, consulte [Nombrar y etiquetar las comprobaciones de estado](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) en la *Guía para desarrolladores de Amazon Route 53*.

## Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
<a name="route53-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Route53::HostedZone`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de consultas de DNS está habilitado en una zona alojada pública de Amazon Route 53. El control falla si el registro de consultas de DNS no está habilitado en una zona alojada pública de Route 53.

Al registrar las consultas de DNS para una zona alojada de Route 53, se abordan los requisitos de seguridad y conformidad del DNS y se garantiza la visibilidad. Los registros incluyen información como el dominio o subdominio que se ha consultado, la fecha y la hora de la consulta, el tipo de registro de DNS (por ejemplo, A o AAAA) y el código de respuesta de DNS (por ejemplo, `NoError` o `ServFail`). Cuando el registro de consultas de DNS está habilitado, Route 53 publica los archivos de registro en Amazon CloudWatch Logs.

### Corrección
<a name="route53-2-remediation"></a>

Para registrar las consultas de DNS para las zonas alojadas públicas de Route 53, consulte [Configuración del registro de consultas de DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) en la *Guía para desarrolladores de Amazon Route 53*.

# Controles CSPM de Security Hub para Amazon S3
<a name="s3-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Simple Storage Service (Amazon S3). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
<a name="s3-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1 3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**Tipo de programa:** Periódico

**Parámetros:** 
+ `ignorePublicAcls`: `true` (no personalizable)
+ `blockPublicPolicy`: `true` (no personalizable)
+ `blockPublicAcls`: `true` (no personalizable)
+ `restrictPublicBuckets`: `true` (no personalizable)

Este control comprueba si la anterior configuración del bloqueo de acceso público de Amazon S3 está configurada en el nivel de cuenta para un bucket de uso general de S3. El control lanza un error si una o más de las configuraciones del bloqueo de acceso público se han establecido como `false`.

El control falla si alguna de las configuraciones se ha establecido como `false` o si alguna de las configuraciones no está configurada.

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket S3 completo Cuenta de AWS o individual a fin de garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de cuenta.

Para obtener más información, consulte [Uso de Bloqueo de acceso público de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*.

### Corrección
<a name="s3-1-remediation"></a>

Para habilitar el acceso público por bloqueo de Amazon S3 para usted Cuenta de AWS, consulte [Configuración de los ajustes de bloqueo de acceso público para su cuenta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura
<a name="s3-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso público de lectura. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control lanza un error si el bucket permite el acceso público de lectura.

**nota**  
Si un bucket de S3 tiene una política de bucket, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de bucket deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

Algunos casos de uso probablemente requieran que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

### Corrección
<a name="s3-2-remediation"></a>

Para bloquear el acceso público de lectura en sus buckets de Amazon S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura
<a name="s3-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso público de escritura. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control lanza un error si el bucket permite el acceso público de escritura.

**nota**  
Si un bucket de S3 tiene una política de bucket, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de bucket deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

### Corrección
<a name="s3-3-remediation"></a>

Para bloquear el acceso público de escritura en sus buckets de Amazon S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
<a name="s3-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 ( NIST.800-53.r5 SC-12), (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 2 ( NIST.800-53.r5 SC-23), 3, 3 NIST.800-53.r5 SC-7 (3) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (3), (4), NIST.800-53.r5 SC-8 (1), (2), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 AC-4 NIST.800-53.r5 IA-5

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene una política que exija que las solicitudes usen SSL. El control lanza un error si la política de buckets no requiere que las solicitudes exijan el uso de SSL.

Los buckets S3 deben tener políticas que exijan que todas las solicitudes (`Action: S3:*`) solo acepten la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada mediante la clave de condición `aws:SecureTransport`.

### Corrección
<a name="s3-5-remediation"></a>

Para actualizar una política de bucket de Amazon S3 de manera que deniegue el transporte no seguro, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.

Añada una declaración de política similar a la de la siguiente política. Sustituya `amzn-s3-demo-bucket` por el nombre del bucket que está modificando.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Para obtener más información, consulta [¿Qué política de bucket de S3 debo usar para cumplir con la AWS Config regla s3-bucket-ssl-requests-only?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) en el *Centro de Conocimiento AWS Oficial*.

## [S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS
<a name="s3-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-171.r2 3.13.4

**Categoría:** Proteger > Gestión del acceso seguro > Se restringen las acciones de operaciones confidenciales de la API 

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (no personalizable)

Este control comprueba si la política del bucket de uso general de Amazon S3 impide que las entidades principales de otras Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control lanza un error si la política de buckets permite una o más de las acciones anteriores a una entidad principal en otra Cuenta de AWS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si una política de buckets S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.

El parámetro `blacklistedactionpatterns` permite evaluar correctamente la regla para los buckets S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en la lista de `blacklistedactionpatterns`.

### Corrección
<a name="s3-6-remediation"></a>

Para actualizar una política de bucket de Amazon S3 para eliminar permisos, consulte. [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.

En la página **Editar política de bucket**, en el cuadro de texto de edición de políticas, lleve a cabo una de las siguientes acciones:
+ Elimine las declaraciones que otorgan a otras Cuentas de AWS el acceso a las acciones denegadas.
+ Elimine las acciones denegadas permitidas de las declaraciones.

## [S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
<a name="s3-7"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, 6 (2), (2), NIst.800-53.r5 SI-13 (5) NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 NIST.800-53.r5 SC-5

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los buckets de uso general de Amazon S3 tienen habilitada la replicación entre regiones. El control lanza un error si el bucket no tiene habilitada la replicación entre regiones.

La replicación es la copia automática y asíncrona de objetos entre depósitos iguales o diferentes. Regiones de AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Las mejores prácticas de AWS recomiendan la replicación de los buckets de origen y destino que son propiedad de la misma Cuenta de AWS. Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Este control produce un resultado `FAILED` para un bucket de destino de la replicación si no tiene habilitada la replicación entre regiones. Si hay una razón legítima por la que el bucket de destino no necesita que se habilite la replicación entre regiones, puede suprimir los resultados correspondientes a este bucket.

### Corrección
<a name="s3-7-remediation"></a>

Para habilitar la replicación entre regiones en un bucket S3, consulte [Configuración de la replicación para los buckets de origen y destino que pertenecen a la misma cuenta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) en la *Guía del usuario de Amazon Simple Storage Service*. En el **Bucket de origen**, seleccione **Aplicar a todos los objetos del bucket**.

## [S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
<a name="s3-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 (7), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21),, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludedPublicBuckets` (no personalizable): una lista separada por comas de nombres de buckets de S3 públicos permitidos conocidos

Este control comprueba si un bucket de uso general de Amazon S3 bloquea el acceso público a nivel de bucket. El control lanza un error si alguna de las siguientes configuraciones se establece como `false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Block Public Access a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de bucket.

### Corrección
<a name="s3-8-remediation"></a>

Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) en la *Guía del usuario de Amazon S3*.

## [S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
<a name="s3-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para los buckets de uso general de Amazon S3. El control lanza un error si no está habilitado el registro de acceso al servidor. Cuando activa el registro, Amazon S3 envía los registros de acceso de un bucket de origen a un bucket de destino que usted selecciona. El bucket de destino debe estar en el Región de AWS mismo lugar que el bucket de origen y no debe tener configurado un período de retención predeterminado. El bucket de registro de destino no necesita tener activado el registro de acceso al servidor, por lo que debe suprimir los resultados de este bucket. 

El registro de acceso al servidor brinda registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consulte [Prácticas recomendadas de seguridad para Amazon S3: Habilitar el registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Corrección
<a name="s3-9-remediation"></a>

Para habilitar el registro de acceso al servidor Amazon S3, consulte [Habilitar el registro de acceso al servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) en la *Guía del usuario de Amazon S3*.

## [S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida
<a name="s3-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 con control de versiones tiene una configuración de ciclo de vida. El control lanza un error si el bucket no tiene una configuración de ciclo de vida.

Recomendamos configurar el ciclo de vida en el bucket de S3 para que pueda definir las acciones que desea que Amazon S3 realice durante la vida útil de un objeto. 

### Corrección
<a name="s3-10-remediation"></a>

Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte [Establecer la configuración del ciclo de vida en un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) y [Administrar el ciclo de vida de almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).

## [S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
<a name="s3-11"></a>

**Requisitos relacionados:** NiSt.800-53.r5 SI-3 (8) NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (4), NIst.800-171.r2 3.3.8

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Lista de tipos de eventos de S3 preferidos  |  EnumList (máximo de 28 artículos)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Sin valor predeterminado  | 

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de uso general de Amazon S3. El control lanza un error si las notificaciones de eventos de S3 no están habilitadas en el bucket. Si proporciona valores personalizados para el parámetro `eventTypes`, el control solo se aprueba si las notificaciones de eventos están habilitadas para los tipos de eventos especificados.

Al habilitar las notificaciones de eventos de S3, recibe alertas cuando se producen eventos específicos que afecten sus buckets de S3. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que puedan provocar el acceso no autorizado a los datos.

### Corrección
<a name="s3-11-remediation"></a>

Para obtener información sobre la detección de cambios en los buckets y objetos S3, consulte [Notificaciones de eventos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) en la *Guía del usuario de Amazon S3*.

## [S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3
<a name="s3-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 proporciona permisos de usuario con una lista de control de acceso (ACL). El control lanza un error si las ACL están configuradas para administrar el acceso de los usuarios a los buckets.

ACLs son mecanismos de control de acceso heredados anteriores a la IAM. En lugar de hacerlo ACLs, le recomendamos que utilice políticas de bucket de S3 o políticas AWS Identity and Access Management (IAM) para administrar el acceso a sus buckets de S3.

### Corrección
<a name="s3-12-remediation"></a>

Para superar este control, debes inhabilitarlo ACLs para tus buckets de S3. Para obtener instrucciones, consulta [Cómo controlar la propiedad de los objetos y deshabilitar ACLs tu depósito](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) en la *Guía del usuario de Amazon Simple Storage Service*.

Para crear una política de bucket S3, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Para crear una política de usuario de IAM en un bucket de S3, consulte [Controlar el acceso a un bucket con políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
<a name="s3-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría:** Proteger > Protección de datos 

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Número de días después de crear los objetos cuando estos se trasladan a una clase de almacenamiento específico  |  Entero  |  De `1` a `36500`  |  Sin valor predeterminado  | 
|  `targetExpirationDays`  |  Número de días después de crear los objetos cuando estos se eliminan  |  Entero  |  De `1` a `36500`  |  Sin valor predeterminado  | 
|  `targetTransitionStorageClass`  |  Tipo de clase de almacenamiento de S3 de destino  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Sin valor predeterminado  | 

Este control comprueba si un bucket de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control lanza un error si el bucket no tiene una configuración de ciclo de vida. Si proporciona valores personalizados para uno o varios de los parámetros anteriores, el control solo pasa si la política incluye la clase de almacenamiento, el tiempo de eliminación o el tiempo de transición especificados. 

Al generar una configuración de ciclo de vida para su bucket de S3, define las acciones que desea que Amazon S3 realice durante la vida útil de un objeto. Por ejemplo, puede realizar la transición de objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.

### Corrección
<a name="s3-13-remediation"></a>

Para obtener información sobre cómo configurar las políticas de ciclo de vida en un bucket de Amazon S3, consulte [Establecer la configuración del ciclo de vida en un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) y consulte [Administrar el ciclo de vida de almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) en la *Guía del usuario de Amazon S3*.

## [S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
<a name="s3-14"></a>

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Requisitos relacionados:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5), NISt.800-171.r2 3.3.8

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitado el control de versiones. El control lanza un error si se suspende el control de versiones del bucket.

El control de versiones conserva diversas variantes de un objeto en el mismo bucket de S3. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones anteriores de los objetos almacenados en su bucket de S3. EL control de versiones de S3 le ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación.

**sugerencia**  
A medida que aumenta el número de objetos en un bucket debido al control de versiones, puede configurar el ciclo de vida para archivar o eliminar automáticamente los objetos con control de funciones en función de las reglas. Para obtener más información, consulte [Administración del ciclo de vida de los objetos versionados de Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/).

### Corrección
<a name="s3-14-remediation"></a>

Para usar el control de versiones en un bucket de S3, consulte [Habilitar el control de versiones en buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) en la *Guía del usuario de Amazon S3*.

## [S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos
<a name="s3-15"></a>

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Requisitos relacionados:** NIST.800-53.r5 CP-6(2), PCI DSS v4.0.1/10.5.1

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Modo de retención de Bloqueo de objetos de S3  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Sin valor predeterminado  | 

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitado el bloqueo de objetos. El control lanza un error si el bloqueo de objetos no está habilitado para el bucket. Si proporciona un valor personalizado para el parámetro `mode`, el control solo pasa si el Bloqueo de objetos de S3 utiliza el modo de retención especificado.

Puede usar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). S3 Bloqueo de objetos puede ayudar a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede usar Bloqueo de objetos de S3 para cumplir con los requisitos normativos que precisen de almacenamiento WORM o agregar una capa adicional de protección frente a cambios y eliminaciones de objetos.

### Corrección
<a name="s3-15-remediation"></a>

Para configurar Bloqueo de objetos para buckets de S3 nuevos y existentes, consulte [Configuración del Bloqueo de objetos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) en la *Guía del usuario de Amazon S3*. 

## [S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
<a name="s3-17"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-2 (10), (1), NIST.800-53.r5 SC-7 NiSt.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NiSt.800-53.r5 AU-9, NiSt.800-171.r2 3.8.9, NiSt.800-171.R2 3.13.16, PCI DSS v4.0.1/3.5.1

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 está cifrado con un AWS KMS key (SSE-KMS o DSSE-KMS). El control lanza un error si el bucket se cifra con el cifrado predeterminado (SSE-S3).

El cifrado del servidor (SSE) es el cifrado de datos en su destino por la aplicación o servicio que los recibe. A menos que especifique lo contrario, los buckets S3 usan claves administradas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del servidor. Sin embargo, para mayor control, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con AWS KMS keys (SSE-KMS o DSSE-KMS) en su lugar. Amazon S3 cifra los datos a nivel de objeto a medida que los escribe en los discos de los centros de AWS datos y los descifra automáticamente cuando accede a ellos.

### Corrección
<a name="s3-17-remediation"></a>

*Para cifrar un bucket de S3 mediante SSE-KMS, consulte [Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) la Guía del usuario de Amazon S3.* *Para cifrar un bucket de S3 mediante DSSE-KMS, consulte [Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html) en la Guía del usuario de Amazon S3.*

## [S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público
<a name="s3-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de acceso de Amazon S3 tiene habilitada la configuración de Bloqueo de acceso público. Se produce un error en el control si la configuración de Bloqueo de acceso público no está habilitada para el punto de acceso.

La característica Bloqueo de acceso público de Amazon S3 ayuda a administrar el acceso a sus recursos de S3 en tres niveles: cuenta, bucket y punto de acceso. La configuración de cada nivel se puede configurar de forma independiente, lo que permite tener diferentes niveles de restricciones de acceso público para los datos. La configuración del punto de acceso no puede anular individualmente la configuración más restrictiva en los niveles superiores (nivel de cuenta o bucket asignado al punto de acceso). Por el contrario, la configuración a nivel del punto de acceso es acumulativa, lo que significa que complementa la configuración de los demás niveles y funciona junto con esta. A menos que pretenda que un punto de acceso de S3 sea de acceso público, debe habilitar la configuración de Bloqueo de acceso público.

### Corrección
<a name="s3-19-remediation"></a>

Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso. Todas las configuraciones de Bloqueo de acceso público están habilitadas de forma predeterminada al crear un punto de acceso nuevo. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Para más información, consulte [Administración de acceso público a puntos de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
<a name="s3-20"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la eliminación mediante autenticación multifactor (MFA) está habilitada para un bucket de uso general de Amazon S3. El control falla si la eliminación mediante MFA no está habilitada para el bucket. El control no produce resultados para buckets que tienen una configuración de ciclo de vida.

Si habilita el control de versiones para un bucket de uso general de S3, puede agregar otra capa de seguridad al configurar la eliminación mediante MFA para el bucket. Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión de un objeto en el bucket o cambiar el estado de control de versiones del bucket. La eliminación mediante MFA proporciona una protección adicional si, por ejemplo, las credenciales de seguridad del propietario del bucket resultan comprometidas. La eliminación mediante MFA también puede ayudar a evitar eliminaciones accidentales del bucket al exigir que el usuario que inicia la acción demuestre la posesión física de un dispositivo MFA con un código MFA, lo que añade una capa adicional de seguridad y fricción al proceso de eliminación.

**nota**  
Este control produce un resultado `PASSED` solo si la eliminación mediante MFA está habilitada para el bucket de uso general de S3. Para habilitar la eliminación mediante MFA para un bucket, el control de versiones también debe estar habilitado para el bucket. El control de versiones del bucket es un método para almacenar múltiples variaciones de un objeto de S3 en el mismo bucket. Además, solo el propietario del bucket que haya iniciado sesión como usuario raíz puede habilitar la eliminación mediante MFA y realizar acciones de eliminación en el bucket. No puede usar la eliminación mediante MFA con un bucket que tiene una configuración de ciclo de vida.

### Corrección
<a name="s3-20-remediation"></a>

Para obtener información sobre habilitar el control de versiones y configurar la eliminación mediante MFA para un bucket de S3, consulte [Configuración de la eliminación mediante MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) en la *Guía del usuario Amazon Simple Storage Service*.

## [S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
<a name="s3-22"></a>

**Requisitos relacionados**: CIS Foundations Benchmark v5.0.0/3.8, CIS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de escritura de datos de los buckets de Amazon S3. El control lanza un error si la cuenta no tiene un registro de seguimiento de varias regiones que registre los eventos de escritura de datos en los buckets de S3.

Las operaciones de S3 a nivel de objeto, como `GetObject`, `DeleteObject` y `PutObject`, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de escritura de datos, puede registrar cada vez que se accede a un objeto (archivo) en un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarle a cumplir los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, supervisar patrones específicos de comportamiento de los usuarios y tomar medidas respecto a la actividad de las API a nivel de objeto en sus buckets de S3 mediante Amazon Events. Cuenta de AWS CloudWatch Este control produce un resultado `PASSED` si configura un registro de seguimiento de varias regiones que registre eventos de datos de solo escritura o de todo tipo para todos los buckets de S3.

### Corrección
<a name="s3-22-remediation"></a>

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte [Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) de *Amazon Simple Storage Service*.

## [S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
<a name="s3-23"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de datos de lectura de los buckets de Amazon S3. El control lanza un error si la cuenta no tiene un registro de seguimiento de varias regiones que registre los eventos de lectura de datos en los buckets de S3.

Las operaciones de S3 a nivel de objeto, como `GetObject`, `DeleteObject` y `PutObject`, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de lectura de datos, puede registrar cada vez que se accede a un objeto (archivo) en un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarle a cumplir los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, supervisar patrones específicos de comportamiento de los usuarios y tomar medidas respecto a la actividad de las API a nivel de objeto en sus buckets de S3 mediante Amazon Events. Cuenta de AWS CloudWatch Este control produce un resultado `PASSED` si configura un registro de seguimiento de varias regiones que registre eventos de datos de solo lectura o de todo tipo para todos los buckets de S3.

### Corrección
<a name="s3-23-remediation"></a>

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte [Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) de *Amazon Simple Storage Service*.

## [S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público
<a name="s3-24"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config regla:** `s3-mrap-public-access-blocked` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de acceso de varias regiones de Amazon S3 tiene habilitado el bloqueo de acceso público. El control lanza un error si el punto de acceso de varias regiones no tiene habilitado el bloqueo de acceso público.

Los recursos de acceso público pueden provocar accesos no autorizados, filtraciones de datos o explotación de vulnerabilidades. Restringir el acceso mediante autenticación y autorización permite proteger la información confidencial y mantener la integridad de sus recursos.

### Corrección
<a name="s3-24-remediation"></a>

Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso de varias regiones de S3. Para obtener más información, consulte [Bloqueo del acceso público con puntos de acceso de varias regiones de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*. No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones.

## [S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
<a name="s3-25"></a>

**Categoría:** Proteger > Protección de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3Express::DirectoryBucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  La cantidad de días después de la creación del objeto en que los objetos deben expirar.  |  Entero  |  De `1` a `2147483647`  |  Sin valor predeterminado  | 

Este control verifica si las reglas de ciclo de vida están configuradas para un bucket de directorio de S3. El control falla si las reglas de ciclo de vida no están configuradas para el bucket de directorio, o si una regla de ciclo de vida del bucket especifica configuraciones de expiración que no coinciden con el valor del parámetro que se especifica opcionalmente.

En Amazon S3, una configuración de ciclo de vida es un conjunto de reglas que definen acciones que Amazon S3 aplica a un grupo de objetos en un bucket. Para un bucket de directorio de S3, puede crear una regla de ciclo de vida que especifica cuándo expiran los objetos según su antigüedad (en días). También puede crear una regla de ciclo de vida que elimine las cargas incompletas realizadas en partes. A diferencia de otros tipos de buckets de S3, como los buckets de uso general, los buckets de directorio no admiten otros tipos de acciones para reglas de ciclo de vida, como la transición de objetos entre clases de almacenamiento.

### Corrección
<a name="s3-25-remediation"></a>

Para definir una configuración de ciclo de vida para un bucket de directorio de S3, cree una regla de ciclo de vida para el bucket. Para obtener más información, consulte [Cómo crear y administrar una configuración de ciclo de vida para el bucket de directorio](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) en la *Guía del usuario de Amazon Simple Storage Service*.

# Controles CSPM de Security Hub para IA SageMaker
<a name="sagemaker-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon SageMaker AI. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet
<a name="sagemaker-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el acceso directo a Internet está deshabilitado para una instancia de SageMaker AI notebook. El control falla si el campo `DirectInternetAccess` está habilitado para la instancia de cuaderno. 

Si configuras tu instancia de SageMaker IA sin una VPC, el acceso directo a Internet está habilitado de forma predeterminada en tu instancia. Debe configurar la instancia con una VPC y cambiar la configuración predeterminada a **Deshabilitar: acceso a Internet a través de una VPC**. Para entrenar o alojar modelos desde un cuaderno, necesita acceso a Internet. Para habilitar el acceso a Internet, su VPC debe tener un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y un grupo de seguridad que permita las conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a los recursos de una VPC, consulte [Conectar una instancia de notebook a los recursos de una VPC en](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) la Guía para desarrolladores de *Amazon SageMaker * AI. También debe asegurarse de que el acceso a su configuración de SageMaker IA esté limitado únicamente a los usuarios autorizados. Restrinja los permisos de IAM que permiten a los usuarios cambiar la configuración y los recursos de la SageMaker IA.

### Corrección
<a name="sagemaker-1-remediation"></a>

Después de crear una instancia de cuaderno, no se puede cambiar la configuración de acceso a Internet. En su lugar, puede detener, eliminar y volver a crear la instancia con el acceso a Internet bloqueado. Para eliminar una instancia de bloc de notas que permite el acceso directo a Internet, consulte [Utilizar instancias de bloc de notas para crear modelos: limpiar](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Para recrear una instancia de cuaderno que deniegue el acceso a Internet, consulte [Crear una instancia de cuaderno](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). En **Red, acceso directo a Internet**, seleccione **Deshabilitar: acceso a Internet a través de una VPC**.

## [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
<a name="sagemaker-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon SageMaker AI Notebook se lanza dentro de una nube privada virtual (VPC) personalizada. Este control falla si una instancia de SageMaker AI Notebook no se lanza en una VPC personalizada o si se lanza en la VPC del servicio de SageMaker IA.

Las subredes son un rango de direcciones IP de una VPC. Recomendamos mantener sus recursos dentro de una VPC personalizada siempre que sea posible para garantizar una protección de red segura de su infraestructura. Una Amazon VPC es una red virtual dedicada a usted. Cuenta de AWS Con una Amazon VPC, puede controlar el acceso a la red y la conectividad a Internet de sus instancias de SageMaker AI Studio y notebook.

### Corrección
<a name="sagemaker-2-remediation"></a>

No se puede cambiar la configuración de VPC después de crear una instancia de cuaderno. En su lugar, puede detener, eliminar y volver a crear la instancia. Para obtener instrucciones, consulte [Uso de instancias de bloc de notas para crear modelos: limpieza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
<a name="sagemaker-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el acceso root está activado en una instancia de bloc de notas de Amazon SageMaker AI. El control falla si el acceso root está activado en una instancia de bloc de notas de SageMaker IA.

Siguiendo el principio de privilegios mínimos, se recomienda restringir el acceso raíz a los recursos de la instancia para evitar un exceso de permisos involuntario.

### Corrección
<a name="sagemaker-3-remediation"></a>

Para restringir el acceso root a las instancias de bloc de notas de SageMaker IA, consulte [Controlar el acceso root a una instancia de bloc de notas de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1
<a name="sagemaker-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las variantes de producción de un punto de conexión de Amazon SageMaker AI tienen un recuento de instancias inicial superior a 1. El control falla si las variantes de producción del punto de conexión tienen solo 1 instancia inicial.

Las variantes de producción que se ejecutan con un recuento de instancias superior a 1 permiten gestionar la redundancia de instancias Multi-AZ mediante SageMaker IA. La implementación de recursos en varias zonas de disponibilidad es una práctica AWS recomendada para proporcionar una alta disponibilidad en su arquitectura. La alta disponibilidad lo ayuda a recuperarse de los incidentes de seguridad.

**nota**  
Este control se aplica solo a la configuración del punto de conexión basada en instancias.

### Corrección
<a name="sagemaker-4-remediation"></a>

Para obtener más información sobre los parámetros de la configuración de puntos finales, consulte [Crear una configuración de punto final](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
<a name="sagemaker-5"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::Model`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un modelo alojado en Amazon SageMaker AI tiene activado el aislamiento de red. El control falla si el parámetro `EnableNetworkIsolation` para el modelo alojado está establecido en `False`.

SageMaker El entrenamiento de IA y los contenedores de inferencia implementados están habilitados para Internet de forma predeterminada. Si no quieres que la SageMaker IA proporcione acceso a una red externa a tus contenedores de formación o inferencia, puedes habilitar el aislamiento de la red. Si habilita el aislamiento de red, no se podrán realizar llamadas de red de entrada o salida hacia o desde el contenedor del modelo, incluidas las llamadas hacia o desde otros Servicios de AWS. Además, no hay AWS credenciales disponibles para el entorno de ejecución del contenedor. Habilitar el aislamiento de la red ayuda a evitar el acceso no deseado a sus recursos de SageMaker IA desde Internet.

**nota**  
El 13 de agosto de 2025, Security Hub CSPM cambió el título y la descripción de este control. El nuevo título y la descripción reflejan con mayor precisión que el control comprueba la configuración del `EnableNetworkIsolation` parámetro de los modelos alojados en Amazon SageMaker AI. Anteriormente, el título de este control era: *SageMaker models should block inbound traffic*.

### Corrección
<a name="sagemaker-5-remediation"></a>

Para obtener más información sobre el aislamiento de redes para modelos de SageMaker IA, consulte [Ejecutar contenedores de entrenamiento e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Cuando crea un modelo, puede habilitar el aislamiento de red al establecer el valor del parámetro `EnableNetworkIsolation` en `True`.

## [SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas
<a name="sagemaker-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si la configuración de imagen de una aplicación Amazon SageMaker AI (`AppImageConfig`) tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="sagemaker-6-remediation"></a>

Para añadir etiquetas a la configuración de imagen de una aplicación de Amazon SageMaker AI (`AppImageConfig`), puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si la utiliza AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker las imágenes deben estar etiquetadas
<a name="sagemaker-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SageMaker::Image`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una imagen de Amazon SageMaker AI tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la imagen no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la imagen no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="sagemaker-7-remediation"></a>

Para añadir etiquetas a una imagen de Amazon SageMaker AI, puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si está utilizando la AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
<a name="sagemaker-8"></a>

**Categoría**: Detectar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (no personalizable)

Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma compatible, en función del identificador de plataforma especificado para la instancia de portátil. El control falla si la instancia de cuaderno está configurada para ejecutarse en una plataforma que ya no recibe soporte.

Si la plataforma de una instancia de bloc de notas de Amazon SageMaker AI ya no es compatible, es posible que no reciba parches de seguridad, correcciones de errores u otros tipos de actualizaciones. Es posible que las instancias de Notebook sigan funcionando, pero no recibirán actualizaciones de seguridad de SageMaker IA ni correcciones de errores críticos. Asume los riesgos asociados con el uso de una plataforma que dejó de recibir soporte. Para obtener más información, consulte el control de [JupyterLabversiones](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

### Corrección
<a name="sagemaker-8-remediation"></a>

Para obtener información sobre las plataformas que Amazon SageMaker AI admite actualmente y cómo migrar a ellas, consulte las [instancias de notebook de Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-9"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de calidad de datos de Amazon SageMaker AI tiene el cifrado habilitado para el tráfico entre contenedores. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos no tiene habilitado el cifrado para el tráfico entre contenedores.

Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático durante el procesamiento distribuido para analizar la calidad de los datos. 

### Corrección
<a name="sagemaker-9-remediation"></a>

Para obtener más información sobre el cifrado del tráfico entre contenedores para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el cifrado del tráfico entre contenedores estableciendo el valor del `EnableInterContainerTrafficEncryption` parámetro en. `True`

## [SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-10"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de explicabilidad del SageMaker modelo de Amazon tiene activado el cifrado del tráfico entre contenedores. El control falla si la definición del trabajo de explicabilidad del modelo no tiene activado el cifrado del tráfico entre contenedores.

Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático, como los datos de modelos, los conjuntos de datos de entrenamiento, los resultados del procesamiento intermedio, los parámetros y las ponderaciones de los modelos durante el procesamiento distribuido para el análisis de explicabilidad. 

### Corrección
<a name="sagemaker-10-remediation"></a>

Para una definición de trabajo de explicabilidad de un SageMaker modelo existente, el cifrado del tráfico entre contenedores no se puede actualizar en su lugar. Para crear una nueva definición de trabajo de explicabilidad del SageMaker modelo con el cifrado de tráfico entre contenedores habilitado, utilice la API o la [CLI [o configúrelo](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html)](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) en. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red
<a name="sagemaker-11"></a>

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de supervisión de la calidad de los datos de Amazon SageMaker AI tiene activado el aislamiento de la red. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos desactiva el aislamiento de la red.

El aislamiento de la red reduce la superficie de ataque e impide el acceso externo, lo que protege contra el acceso externo no autorizado, la exposición accidental de los datos y la posible exfiltración de datos. 

### Corrección
<a name="sagemaker-11-remediation"></a>

Para obtener más información sobre el aislamiento de redes para SageMaker IA, consulte [Ejecutar contenedores de formación e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el aislamiento de la red estableciendo el valor del `EnableNetworkIsolation` parámetro en. `True`

## [SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red
<a name="sagemaker-12"></a>

**Categoría:** Proteger > Configuración de red segura > Configuración de políticas de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la definición de un trabajo basado en el sesgo de un SageMaker modelo tiene activado el aislamiento de la red. El control falla si la definición del trabajo de sesgo del modelo no tiene activado el aislamiento de la red.

El aislamiento de la red evita que los trabajos sesgados por el SageMaker modelo se comuniquen con recursos externos a través de Internet. Al habilitar el aislamiento de la red, se asegura de que los contenedores del trabajo no puedan establecer conexiones salientes, lo que reduce la superficie de ataque y protege los datos confidenciales de la filtración. Esto es particularmente importante para los trabajos que procesan datos regulados o confidenciales.

### Corrección
<a name="sagemaker-12-remediation"></a>

Para habilitar el aislamiento de la red, debe crear una nueva definición de trabajo basada en el sesgo del modelo con los `EnableNetworkIsolation` parámetros establecidos en`True`. El aislamiento de la red no se puede modificar después de crear la definición del trabajo. Para crear una nueva definición de trabajo basada [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)en el sesgo del modelo, consulte la *Guía para desarrolladores de Amazon SageMaker AI*. 

## [SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-13"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de trabajos con calidad del SageMaker modelo de Amazon tienen el cifrado en tránsito activado para el tráfico entre contenedores. El control falla si una definición de trabajo de calidad modelo no tiene activado el cifrado del tráfico entre contenedores.

El cifrado del tráfico entre contenedores protege los datos que se transmiten entre contenedores durante las tareas de supervisión de la calidad de los modelos distribuidos. De forma predeterminada, el tráfico entre contenedores no está cifrado. Habilitar el cifrado ayuda a mantener la confidencialidad de los datos durante el procesamiento y respalda el cumplimiento de los requisitos reglamentarios para la protección de los datos en tránsito.

### Corrección
<a name="sagemaker-13-remediation"></a>

Para habilitar el cifrado del tráfico entre contenedores para la definición de trabajo de calidad de su SageMaker modelo de Amazon, debe volver a crear la definición de trabajo con la configuración de cifrado en tránsito adecuada. Para crear una definición de trabajo con calidad modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)la *Guía para desarrolladores de Amazon SageMaker AI*. 

## [SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red
<a name="sagemaker-14"></a>

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los programas de SageMaker monitoreo de Amazon tienen activado el aislamiento de la red. El control falla si un programa de monitoreo se ha EnableNetworkIsolation establecido en falso o no está configurado

El aislamiento de la red impide que los equipos de supervisión realicen llamadas de red salientes, lo que reduce la superficie de ataque al eliminar el acceso a Internet desde los contenedores.

### Corrección
<a name="sagemaker-14-remediation"></a>

Para obtener información sobre cómo configurar el aislamiento de la red en el NetworkConfig parámetro al crear o actualizar un programa de monitoreo, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulte la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-15"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de trabajos de sesgo del SageMaker modelo de Amazon tienen habilitado el cifrado de tráfico entre contenedores cuando se utilizan varias instancias de procesamiento. El control falla si `EnableInterContainerTrafficEncryption` se establece en falso o no está configurado para definiciones de trabajo con un recuento de instancias igual o superior a 2.

EInter-El cifrado del tráfico de contenedores protege los datos transmitidos entre las instancias de procesamiento durante las tareas de supervisión del sesgo de los modelos distribuidos. El cifrado evita el acceso no autorizado a la información relacionada con el modelo, como los pesos que se transmiten entre instancias.

### Corrección
<a name="sagemaker-15-remediation"></a>

Para habilitar el cifrado del tráfico entre contenedores para las definiciones de tareas basadas en el sesgo del SageMaker modelo, defina el `EnableInterContainerTrafficEncryption` parámetro para que la `True` definición de tareas utilice varias instancias informáticas. Para obtener información sobre la protección de las comunicaciones entre instancias de procesamiento de aprendizaje automático, consulte [Proteger las comunicaciones entre instancias de procesamiento de aprendizaje automático en un trabajo de formación distribuido](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. 

# Controles CSPM de Security Hub para Secrets Manager
<a name="secretsmanager-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Secrets Manager servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
<a name="secretsmanager-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Número máximo de días permitidos para la frecuencia de rotación del secreto  |  Entero  |  De `1` a `365`  |  Sin valor predeterminado  | 

Este control comprueba si un secreto almacenado en AWS Secrets Manager está configurado con rotación automática. Se produce un error en el control si el secreto no está configurado con rotación automática. Si proporciona un valor personalizado para el parámetro `maximumAllowedRotationFrequency`, el control solo pasa si el secreto gira automáticamente dentro del margen de tiempo especificado.

Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.

Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia. Para obtener más información sobre la rotación, [consulte Cómo girar AWS Secrets Manager los secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del AWS Secrets Manager usuario*.

### Corrección
<a name="secretsmanager-1-remediation"></a>

Para activar la rotación automática de los secretos de Secrets Manager, consulte [Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) en la *Guía del AWS Secrets Manager usuario*. Debe elegir y configurar una AWS Lambda función de rotación.

## [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente
<a name="secretsmanager-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un secreto se ha rotado correctamente en función del programa de rotación. AWS Secrets Manager El control tiene errores si `RotationOccurringAsScheduled` es `false`. El control solo evalúa los secretos que tienen la renovación activada.

Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.

Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia.

Además de configurar los secretos para que giren automáticamente, debe asegurarse de que esos secretos giren correctamente según el programa de renovación.

Para obtener más información sobre la renovación, consulte [Cómo renovar sus secretos de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del usuario de AWS Secrets Manager *.

### Corrección
<a name="secretsmanager-2-remediation"></a>

Si se produce un error en la renovación automática, es posible que Secrets Manager haya detectado errores en la configuración. La rotación de secretos en requiere el uso de una función de Lambda que defina cómo interactuar con la base de datos o el servicio al que pertenece el secreto.

Para obtener ayuda para diagnosticar y corregir errores comunes relacionados con la rotación de secretos, consulte [Solución de problemas de AWS Secrets Manager rotación de secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) en la Guía del *AWS Secrets Manager usuario*.

## [SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
<a name="secretsmanager-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Número máximo de días durante el que un secreto puede permanecer sin uso  |  Entero  |  De `1` a `365`  |  `90`  | 

Este control comprueba si se ha accedido a un AWS Secrets Manager secreto dentro del período de tiempo especificado. Se produce un error en el control si un secreto no se utiliza más allá del periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de acceso, el CSPM de Security Hub utiliza un valor predeterminado de 90 días.

Eliminar los secretos no utilizados es tan importante como renovarlos. Los antiguos usuarios pueden abusar de los secretos no utilizados, ya que ya no necesitan acceder a ellos. Además, a medida que más usuarios acceden a un secreto, es posible que alguien lo haya manipulado mal y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. Eliminar los secretos no utilizados ayuda a revocar el acceso secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo de usar Secrets Manager. Por lo tanto, es esencial eliminar de forma rutinaria los secretos no utilizados.

### Corrección
<a name="secretsmanager-3-remediation"></a>

Para eliminar los secretos inactivos de Secrets Manager, consulte [Eliminar un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) en la *Guía del AWS Secrets Manager usuario*.

## [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
<a name="secretsmanager-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Número máximo de días durante el que un secreto puede permanecer sin cambios  |  Entero  |  De `1` a `180`  |  `90`  | 

Este control comprueba si un AWS Secrets Manager secreto se rota al menos una vez dentro del período de tiempo especificado. Se produce un error en el control si no se rota un secreto al menos con esta frecuencia. A menos que proporciones un valor de parámetro personalizado para el período de rotación, el CSPM de Security Hub utiliza un valor predeterminado de 90 días.

La rotación de los secretos puede ayudarle a reducir el riesgo de que se usen sus secretos sin autorización en su Cuenta de AWS. Los ejemplos incluyen credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos.

Ya que hay más usuarios que acceden a un secreto, existen más probabilidades de que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Pueden compartirse con fines de depuración y no pueden cambiarse ni revocarse una vez que se complete la depuración. Por todas estas razones, los secretos deben rotarse con frecuencia.

Puede configurar la renovación automática de los datos secretos en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo con secretos a corto plazo, lo cual reducirá significativamente el riesgo de peligro. Le sugerimos que configure la rotación automática para sus secretos de Secrets Manager. Para obtener más información, consulte [Rotación de sus secretos de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del usuario de AWS Secrets Manager *. 

### Corrección
<a name="secretsmanager-4-remediation"></a>

Para activar la rotación automática de los secretos de Secrets Manager, consulte [Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) en la *Guía del AWS Secrets Manager usuario*. Debe elegir y configurar una AWS Lambda función de rotación.

## [SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
<a name="secretsmanager-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**AWS Config regla:** `tagged-secretsmanager-secret` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Secrets Manager secreto tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el secreto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el secreto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="secretsmanager-5-remediation"></a>

Para añadir etiquetas a un secreto de Secrets Manager, consulta [Etiquetar AWS Secrets Manager secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) en la *Guía del AWS Secrets Manager usuario*.

# Controles CSPM de Security Hub para AWS Service Catalog
<a name="servicecatalog-controls"></a>

Este AWS Security Hub CSPM control evalúa el AWS Service Catalog servicio y los recursos. Es posible que el control no esté disponible en todas las Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización
<a name="servicecatalog-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ServiceCatalog::Portfolio`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si AWS Service Catalog comparte carteras dentro de una organización cuando la integración con AWS Organizations está habilitada. El control falla si las carteras no se comparten dentro de una organización.

Compartir carteras solo dentro de Organizations permite garantizar que una cartera no se comparta con Cuentas de AWS incorrectas. Para compartir una cartera de Service Catalog con una cuenta de una organización, Security Hub CSPM recomienda utilizarla `ORGANIZATION_MEMBER_ACCOUNT` en lugar de. `ACCOUNT` Esto simplifica la administración al regular el acceso otorgado a la cuenta en toda la organización. Si tiene una necesidad empresarial de compartir carteras de Service Catalog con una cuenta externa, puede [suprimir automáticamente los resultados](automation-rules.md) de este control o [deshabilitarlo](disable-controls-overview.md).

### Corrección
<a name="servicecatalog-1-remediation"></a>

Para habilitar el uso compartido de carteras con AWS Organizations, consulte [Compartir con AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) en la Guía del *AWS Service Catalog administrador*.

# Controles CSPM de Security Hub para Amazon SES
<a name="ses-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Simple Email Service (Amazon SES).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] Las listas de contactos de SES deben estar etiquetadas
<a name="ses-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SES::ContactList`

**AWS Config regla:** `tagged-ses-contactlist` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una lista de contactos de Amazon SES tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la lista de contactos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la lista de contactos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ses-1-remediation"></a>

Para añadir etiquetas a una lista de contactos de Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)la *referencia de la API v2 de Amazon SES*.

## [SES.2] Los conjuntos de configuración de SES deben estar etiquetados
<a name="ses-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**AWS Config regla:** `tagged-ses-configurationset` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un conjunto de configuración de Amazon SES tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el conjunto de configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el conjunto de configuración no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ses-2-remediation"></a>

Para añadir etiquetas a un conjunto de configuraciones de Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)la *referencia de la API v2 de Amazon SES*.

## [SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos
<a name="ses-3"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit 

**Gravedad:** media

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un conjunto de configuraciones de Amazon SES requiere conexiones TLS. El control falla si la política TLS no está configurada `'REQUIRE'` para un conjunto de configuraciones.

De forma predeterminada, Amazon SES usa un TLS oportunista, lo que significa que los correos electrónicos se pueden enviar sin cifrar si no se puede establecer una conexión TLS con el servidor de correo receptor. Al aplicar el TLS para el envío de correos electrónicos, se garantiza que los mensajes solo se entreguen cuando se pueda establecer una conexión cifrada segura. Esto ayuda a proteger la confidencialidad e integridad del contenido del correo electrónico durante la transmisión entre Amazon SES y el servidor de correo del destinatario. Si no se puede establecer una conexión TLS segura, el mensaje no se entregará, lo que evitará la posible exposición de información confidencial.

**nota**  
Si bien TLS 1.3 es el método de entrega predeterminado para Amazon SES, si no se aplica el requisito de TLS a través de los conjuntos de configuración, los mensajes podrían entregarse en texto sin formato si se produce un error en la conexión TLS. Para superar este control, debe configurar la política de TLS para que se ajuste a las opciones de entrega de su conjunto de `'REQUIRE'` configuraciones de SES. Cuando se requiere TLS, los mensajes solo se entregan si se puede establecer una conexión TLS con el servidor de correo receptor.

### Corrección
<a name="ses-3-remediation"></a>

Para configurar Amazon SES para que requiera conexiones TLS para un conjunto de configuraciones, consulte [Amazon SES y los protocolos de seguridad](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) en la *Guía para desarrolladores de Amazon SES*.

# Controles de CSPM de Security Hub para Amazon SNS
<a name="sns-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos del Amazon Simple Notification Service (Amazon SNS). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
<a name="sns-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), NIst.800-171.r2 3.13.11, NISt.800-171.r2 3.13.16 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un tema de Amazon SNS está cifrado en reposo utilizando claves administradas en AWS Key Management Service (AWS KMS). Los controles fallan si el tema de SNS no utiliza una clave de KMS para el cifrado del servidor (SSE). De forma predeterminada, SNS almacena los mensajes y archivos mediante el cifrado de disco. Para pasar este control, debe optar por utilizar una clave KMS para el cifrado. Esto agrega una capa adicional de seguridad y brinda una mayor flexibilidad de control de acceso.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Se requieren permisos de API para descifrar los datos antes de que puedan leerse. Recomendamos cifrar temas de SNS con claves de KMS para tener una capa de seguridad adicional.

### Corrección
<a name="sns-1-remediation"></a>

Para habilitar SSE para un tema de SNS, consulte [Habilitación del cifrado del servidor (SSE) para Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Antes de poder usar SSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de mensajes. Para obtener más información, consulte [Configuración de AWS KMS permisos](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

## [SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema
<a name="sns-2"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los puntos de conexión. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.

El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios. El registro del estado de entrega de los mensajes aporta información operativa, como la siguiente:
+ Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.
+ Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.
+ Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un punto de conexión de Amazon SNS).

### Corrección
<a name="sns-2-remediation"></a>

Para configurar el registro del estado de entrega de un tema, consulte el [Estado de entrega de los mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

## [SNS.3] Los temas de SNS deben etiquetarse
<a name="sns-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SNS::Topic`

**AWS Config regla:** `tagged-sns-topic` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un tema de Amazon SNS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el tema no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el tema no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="sns-3-remediation"></a>

Para agregar etiquetas a un tema de SNS, consulte [Configuración de etiquetas de temas de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) en la *Guía para desarrolladores del servicio de Amazon Simple Notification Service*.

## [SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
<a name="sns-4"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la política de acceso a los temas de Amazon SNS permite el acceso público. Este control falla si la política de acceso a los temas de Amazon SNS permite el acceso público.

Puede utilizar una política de acceso de Amazon SNS con un tema determinado para restringir quién puede trabajar en ese tema (por ejemplo, quién puede publicar mensajes en el tema, quién se puede suscribir al tema, etcétera). Las políticas de SNS pueden conceder acceso a otros Cuentas de AWS usuarios o a los propios usuarios. Cuenta de AWS El uso de un carácter comodín (\$1) en el campo `Principal` de la política de temas y la falta de condiciones para limitar la política de temas pueden provocar la exfiltración de datos, la denegación del servicio o la inyección no deseada de mensajes en el servicio por parte de un atacante.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para generar un resultado `PASSED`, las condiciones de la política de acceso de Amazon SNS para un tema deben usar únicamente valores fijos, es decir, valores que no contengan caracteres comodín ni variables de la política. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="sns-4-remediation"></a>

Para actualizar las políticas de acceso de un tema de SNS, consulte [Información general sobre la administración del acceso en Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) en la *Guía para desarrolladores del servicio Amazon Simple Notification Service*.

# Controles CSPM de Security Hub para Amazon SQS
<a name="sqs-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos del Amazon Simple Queue Service (Amazon SQS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo
<a name="sqs-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regla:** `sqs-queue-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una cola de Amazon SQS está cifrada en reposo. El control falla si la cola no está cifrada con una clave administrada por SQL (SSE-SQS) o una clave () (SSE-KMS). AWS Key Management Service AWS KMS

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autorizado acceda a los datos almacenados en el disco. El cifrado del lado del servidor (SSE) protege el contenido de los mensajes de las colas de SQS mediante claves de cifrado administradas por SQS (SSE-SQS) o claves (SSE-KMS). AWS KMS 

### Corrección
<a name="sqs-1-remediation"></a>

Para configurar el SSE para una cola de SQS, consulte [Configuración del cifrado del servidor (SSE) para una cola (consola)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) en la *Guía para desarrolladores de Amazon Simple Queue Service*.

## [SQS.2] Las colas de SQS deben estar etiquetadas
<a name="sqs-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regla:** `tagged-sqs-queue` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una cola de Amazon SQS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la cola no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la cola no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="sqs-2-remediation"></a>

Para agregar etiquetas a una cola existente mediante la consola de Amazon SQS, consulte [Configuring cost allocation tags for an Amazon SQS queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) en la *Guía para desarrolladores de Amazon Simple Queue Service*.

## [SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
<a name="sqs-3"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SQS::Queue`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una política de acceso de Amazon SQS permite el acceso público a una cola de SQS. El control falla si una política de acceso de SQS permite el acceso público a la cola.

Una política de acceso a Amazon SQS puede permitir el acceso público a una cola de SQS, lo que podría permitir que un usuario anónimo o cualquier identidad de AWS IAM autenticada accediera a la cola. Las políticas de acceso de SQS suelen permitir este acceso mediante el uso del carácter comodín (`*`) en el elemento `Principal` de la política o al no utilizar condiciones adecuadas para restringir el acceso a la cola, o ambas cosas. Si una política de acceso de SQS permite el acceso público, terceros podrían realizar tareas como recibir mensajes de la cola, enviar mensajes a la cola o modificar la política de acceso de la cola. Esto puede derivar en eventos como exfiltración de datos, denegación de servicio o inyección de mensajes en la cola por parte de un actor malintencionado.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para generar un resultado `PASSED`, las condiciones en la política de acceso de Amazon SQS para una cola deben usar únicamente valores fijos, es decir, valores que no incluyan caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="sqs-3-remediation"></a>

Para obtener información sobre cómo configurar la política de acceso de SQS para una cola de SQS, consulte [Uso de políticas personalizadas con el lenguaje de políticas de acceso de Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) en la *Guía del desarrollador de Amazon Simple Queue Service (Amazon SQS)*.

# Controles CSPM de Security Hub para Step Functions
<a name="stepfunctions-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Step Functions servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
<a name="stepfunctions-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::StepFunctions::StateMachine`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Nivel mínimo de registro  |  Enum  |  `ALL, ERROR, FATAL`  |  Sin valor predeterminado  | 

Este control comprueba si una máquina de AWS Step Functions estado tiene activado el registro. El control falla si una máquina de estados no tiene el registro activado. Si proporciona un valor personalizado para el parámetro `logLevel`, el control solo pasa si la máquina de estados tiene activado el nivel de registro especificado.

La monitorización le ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de Step Functions. Debe recopilar la mayor cantidad de datos de supervisión de los Servicios de AWS que utiliza para poder depurar más fácilmente los fallos multipunto. Tener una configuración de registro definida para sus máquinas de estado de Step Functions le permite realizar un seguimiento del historial de ejecución y los resultados en Amazon CloudWatch Logs. Si lo desea, puede realizar un seguimiento únicamente de los errores o eventos fatales.

### Corrección
<a name="stepfunctions-1-remediation"></a>

Para activar el registro en una máquina de estados de Step Functions, consulte [Configurar el registro](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) en la *Guía para desarrolladores de AWS Step Functions *.

## [StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
<a name="stepfunctions-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::StepFunctions::Activity`

**AWS Config regla:** `tagged-stepfunctions-activity` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS Step Functions actividad tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si la actividad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la actividad no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="stepfunctions-2-remediation"></a>

Para agregar etiquetas a una actividad de Step Functions, consulte [Etiquetado en Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) en la *Guía para desarrolladores de AWS Step Functions *.

# Controles CSPM de Security Hub para Systems Manager
<a name="ssm-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Systems Manager (SSM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
<a name="ssm-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-1 NIst.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3

**Categoría:** Identificar - Inventario

**Gravedad:** media

**Recurso evaluado:** `AWS::EC2::Instance`

`AWS::EC2::Instance`Recursos de grabación ** AWS Config necesarios:** `AWS::SSM::ManagedInstanceInventory`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias EC2 de su cuenta detenidas y en ejecución están gestionadas por AWS Systems Manager. Systems Manager es un sistema Servicio de AWS que puede utilizar para ver y controlar su AWS infraestructura.

Para ayudarle a mantener la seguridad y el cumplimiento, Systems Manager analiza las instancias administradas detenidas y en ejecución. Una instancia administrada es una máquina configurada para utilizar Systems Manager. Luego, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de política que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas. Para obtener más información, consulte la [Guía del usuario de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**nota**  
Este control genera `FAILED` resultados para las instancias EC2 que son instancias de AWS Elastic Disaster Recovery Replication Server administradas por AWS. Una instancia de servidor de replicación es una instancia EC2 que se lanza automáticamente AWS Elastic Disaster Recovery para permitir la replicación continua de datos desde los servidores de origen. AWS elimina intencionadamente el agente Systems Manager (SSM) de estas instancias para mantener el aislamiento y evitar posibles rutas de acceso no deseadas.

### Corrección
<a name="ssm-1-remediation"></a>

Para obtener información sobre la administración de instancias EC2 con AWS Systems Manager, consulte la administración de [hosts de Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) en *AWS Systems Manager la Guía del* usuario. En la sección **de opciones de configuración** de la AWS Systems Manager consola, puede conservar la configuración predeterminada o cambiarla según sea necesario según la configuración que prefiera.

## [SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche
<a name="ssm-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoría:** Detectar - Servicios de detección 

**Gravedad:** alta

**Tipo de recurso:** `AWS::SSM::PatchCompliance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el estado de la conformidad de los parches de Systems Manager es `COMPLIANT` o `NON_COMPLIANT` después de instalar el parche en la instancia. El control falla si el estado de conformidad es `NON_COMPLIANT`. El control solo comprueba las instancias administradas por el Administrador de parches de Systems Manager.

Tener las instancias EC2 con parches según lo especificado por su organización reduce la superficie expuesta a ataques de su Cuentas de AWS.

### Corrección
<a name="ssm-2-remediation"></a>

Systems Manager recomienda utilizar [políticas de parches](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar los parches para las instancias administradas. También puede utilizar los [documentos de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), tal y como se describe en el siguiente procedimiento, para aplicar un parche a una instancia.

**Para solucionar parches no conformes**

1. Abra la AWS Systems Manager consola en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En **Administración de nodos**, elija **Ejecutar comando** y, a continuación, elija **Ejecutar comando**.

1. Seleccione la opción para **AWS- RunPatchBaseline**.

1. Cambie la **Operation (Operación)** a **Install (Instalar)**.

1. Seleccione **Elegir las instancias manualmente** y, a continuación, elija las instancias no conformes.

1. Seleccione **Ejecutar**.

1. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija **Conformidad** en el panel de navegación.

## [SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT
<a name="ssm-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2), NiSt.800-53.r5 CM-8, NiSt.800-53.r5 CM-8 (3), NiSt.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::SSM::AssociationCompliance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el estado de conformidad de la AWS Systems Manager asociación es `COMPLIANT` o `NON_COMPLIANT` después de que la asociación se ejecute en una instancia. El control falla si el estado de conformidad de la asociación es `NON_COMPLIANT`.

Una asociación de State Manager es una configuración que se asigna a sus instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en sus instancias, o bien que determinados puertos deben estar cerrados. 

Después de crear una o varias asociaciones de administradores estatales, la información sobre el estado de la conformidad estará disponible inmediatamente. Puede ver el estado de conformidad en la consola o en respuesta a AWS CLI los comandos o las acciones correspondientes de la API de Systems Manager. En el caso de las asociaciones, Conformidad de la configuración muestra el estado de conformidad (`Compliant` o`Non-compliant`). También muestra el nivel de gravedad asignado a la asociación, como `Critical` o `Medium`.

Para obtener más información sobre el cumplimiento de las asociaciones de gerentes estatales, consulte [Acerca del cumplimiento de las asociaciones de gerentes estatales](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) en la *Guía del usuario de AWS Systems Manager *.

### Corrección
<a name="ssm-3-remediation"></a>

Una asociación fallida puede estar relacionada con diferentes factores, como los destinos y los nombres de los documentos de Systems Manager. Para solucionar este problema, primero debe identificar e investigar la asociación consultando el historial de asociaciones. Para obtener instrucciones sobre cómo ver el historial de asociaciones, consulte [Visualización del historial de asociaciones](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) en la *Guía del usuario de AWS Systems Manager *.

Tras investigar, puede editar la asociación para corregir el problema identificado. Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Tras editar una asociación, AWS Systems Manager crea una nueva versión. Para obtener instrucciones sobre cómo editar una asociación, consulte [Edición y creación de una nueva versión de una asociación](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) en la *Guía del usuario de AWS Systems Manager *.

## [SSM.4] Los documentos SSM no deben ser públicos
<a name="ssm-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SSM::Document`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS Systems Manager los documentos que son propiedad de una cuenta son públicos. El control falla si los documentos de Systems Manager que tienen `Self` como propietario son públicos.

Los documentos de Systems Manager que son públicos pueden permitir el acceso no deseado a sus documentos. Un documento público de Systems Manager puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.

A menos que el caso de uso requiera uso compartido público, recomendamos bloquear el uso compartido público para los documentos de Systems Manager que tengan `Self` como propietario.

### Corrección
<a name="ssm-4-remediation"></a>

Para obtener información sobre cómo configurar el uso compartido de documentos de Systems Manager, consulte [Uso compartido de un documento de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) en la *Guía del usuario de AWS Systems Manager *.

## [SSM.5] Los documentos de SSM deben estar etiquetados
<a name="ssm-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SSM::Document`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Systems Manager documento tiene las claves de etiquetas especificadas por el `requiredKeyTags` parámetro. El control falla si el documento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el documento no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. El control no evalúa los documentos de Systems Manager que pertenecen a Amazon.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ssm-5-remediation"></a>

Para añadir etiquetas a un AWS Systems Manager documento, puedes usar la [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operación de la AWS Systems Manager API o, si estás usando la AWS CLI, ejecutar el [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. También puede usar la consola de AWS Systems Manager .

## [SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
<a name="ssm-6"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el CloudWatch registro de Amazon está habilitado para la automatización AWS Systems Manager (SSM). El control falla si el CloudWatch registro no está habilitado para SSM Automation.

SSM Automation es una AWS Systems Manager herramienta que le ayuda a crear soluciones automatizadas para implementar, configurar y administrar AWS los recursos a escala mediante manuales predefinidos o personalizados. Para cumplir requisitos operativos o de seguridad en la organización, podría necesitar proporcionar un registro de los scripts que ejecuta. Puede configurar SSM Automation para enviar el resultado de `aws:executeScript` las acciones de sus runbooks a un grupo de CloudWatch registros de Amazon Logs que especifique. Con CloudWatch Logs, puede monitorear, almacenar y acceder a los archivos de registro de varios archivos. Servicios de AWS

### Corrección
<a name="ssm-6-remediation"></a>

Para obtener información sobre cómo habilitar el CloudWatch registro para SSM Automation, consulte [Registrar los resultados de las acciones de automatización con CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) en la *Guía del AWS Systems Manager usuario*.

## [SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público
<a name="ssm-7"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si la configuración para bloquear el uso compartido público está habilitada para los documentos de AWS Systems Manager . El control falla si la configuración para bloquear el uso compartido público está desactivada para los documentos de Systems Manager.

La configuración de bloquear el uso compartido público de documentos AWS Systems Manager (SSM) es una configuración a nivel de cuenta. Habilitar esta configuración puede evitar el acceso no deseado a los documentos de SSM. Si habilita esta configuración, el cambio no afecta a los documentos de SSM que actualmente comparte con el público. A menos que el caso de uso requiera compartir documentos de SSM con el público, recomendamos habilitar la configuración para bloquear el uso compartido público. La configuración puede ser diferente para cada uno de ellos. Región de AWS

### Corrección
<a name="ssm-7-remediation"></a>

Para obtener información sobre cómo habilitar la configuración para bloquear el uso compartido público de los documentos de AWS Systems Manager (SSM), consulte [Bloqueo del uso compartido público de documentos de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) en la *Guía del usuario de AWS Systems Manager *.

# Controles CSPM de Security Hub para AWS Transfer Family
<a name="transfer-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Transfer Family servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
<a name="transfer-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Workflow`

**AWS Config regla:** `tagged-transfer-workflow` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Transfer Family flujo de trabajo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el flujo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el flujo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="transfer-1-remediation"></a>

**Para agregar etiquetas a un flujo de trabajo de Transfer Family (consola)**

1. Abre la consola. AWS Transfer Family 

1. En el panel de navegación, elija **Workflows (Flujos de trabajo)**. Luego, seleccione el flujo de trabajo que desea etiquetar.

1. Elija **Administrar etiquetas** y luego agregue las etiquetas.

## [Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión
<a name="transfer-2"></a>

**Requisitos relacionados:** PCI NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 DSS NIST.800-53.r5 SC-8 v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Transfer::Server`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un AWS Transfer Family servidor utiliza un protocolo distinto del FTP para la conexión del punto final. El control lanza error si el servidor utiliza el protocolo FTP para que un cliente se conecte al punto de conexión del servidor.

El protocolo de transferencia de archivos (FTP) establece la conexión del punto de conexión mediante canales no cifrados, lo que hace que los datos enviados a través de estos canales sean vulnerables a la interceptación. El uso de SFTP (protocolo de transferencia de archivos SSH), FTPS (protocolo de transferencia de archivos seguro) o AS2 (declaración de aplicabilidad 2) ofrece un nivel adicional de seguridad al cifrar los datos en tránsito y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red.

### Corrección
<a name="transfer-2-remediation"></a>

Para modificar el protocolo de un servidor de Transfer Family, consulte [Edición de los protocolos de transferencia de archivos](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) en la *Guía del usuario de AWS Transfer Family *.

## [Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
<a name="transfer-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NiSt.800-53.r5 SI-3 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el CloudWatch registro de Amazon está habilitado para un AWS Transfer Family conector. El control falla si el CloudWatch registro no está activado en el conector.

Amazon CloudWatch es un servicio de supervisión y observabilidad que proporciona visibilidad de sus AWS recursos, incluidos los AWS Transfer Family recursos. Para Transfer Family, CloudWatch proporciona auditoría y registro consolidados del progreso y los resultados del flujo de trabajo. Esto incluye varias métricas que Transfer Family define para los flujos de trabajo. Puede configurar Transfer Family para que registre automáticamente los eventos del conector CloudWatch. Para hacerlo, especifica un rol de registro para el conector. Para el rol de registro, crea un rol de IAM y una política de IAM basada en recursos que definen los permisos del rol.

### Corrección
<a name="transfer-3-remediation"></a>

Para obtener información sobre cómo habilitar el CloudWatch registro para un conector Transfer Family, consulte [Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) en la *Guía del AWS Transfer Family usuario*.

## [Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
<a name="transfer-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Agreement`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family acuerdo tiene las claves de etiqueta especificadas en el `requiredKeyTags` parámetro. El control falla si el acuerdo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el acuerdo no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-4-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family acuerdo, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.5] Los certificados de Transfer Family deben estar etiquetados
<a name="transfer-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family certificado tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el certificado no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-5-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family certificado, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.6] Los conectores de Transfer Family deben estar etiquetados
<a name="transfer-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family conector tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el conector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el conector no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-6-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family conector, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
<a name="transfer-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Profile`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family perfil tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el perfil no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el perfil no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. El control evalúa perfiles locales y perfiles de socios.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-7-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family perfil, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

# Controles CSPM de Security Hub para AWS WAF
<a name="waf-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS WAF servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
<a name="waf-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS WAF el registro está habilitado para una ACL web global. Este control falla si el registro no está habilitado para la ACL web.

El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de AWS WAF todo el mundo. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la ACL web a la que se conecta AWS WAF.

### Corrección
<a name="waf-1-remediation"></a>

Para habilitar el registro de una ACL AWS WAF web, consulte [Registrar la información del tráfico de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
<a name="waf-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::Rule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una regla AWS WAF regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.

Una regla de WAF Regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF Regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-2-remediation"></a>

Para añadir una condición a una regla vacía, consulta [Añadir y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para desarrolladores de AWS WAF *.

## [WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
<a name="waf-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas AWS WAF regionales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas de WAF Regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas de WAF Regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-3-remediation"></a>

Para agregar reglas y condiciones de reglas a un grupo de reglas vacío, consulte [Agregar y eliminar reglas de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) y [Agregar y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una ACL AWS WAF Classic Regional web contiene reglas de WAF o grupos de reglas de WAF. Este control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web de WAF Regional puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

### Corrección
<a name="waf-4-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL web regional AWS WAF clásica vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*.

## [WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
<a name="waf-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::Rule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una regla global contiene alguna condición. AWS WAF El control falla si no hay condiciones presentes en una regla.

Una regla de WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-6-remediation"></a>

Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte [Creación de una regla y adición de condiciones](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) en la *Guía para desarrolladores de AWS WAF *.

## [WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
<a name="waf-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas AWS WAF globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas globales de WAF puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas globales de la WAF sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-7-remediation"></a>

Para obtener instrucciones sobre cómo agregar una regla a un grupo de reglas, consulte [Creación de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una ACL web AWS WAF global contiene al menos una regla de WAF o un grupo de reglas de WAF. El control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web global de WAF puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

### Corrección
<a name="waf-8-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL web AWS WAF global vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*. Para **Filtrar**, elija **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una lista de control de acceso web AWS WAF(ACL web) de la versión 2 contiene al menos una regla o un grupo de reglas. El control falla si una ACL web no contiene ninguna regla o grupo de reglas.

Una ACL web le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Una ACL web debe contener una colección de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, AWS WAF según la acción predeterminada.

### Corrección
<a name="waf-10-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL WAFV2 web vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.11] El registro de ACL AWS WAF web debe estar habilitado
<a name="waf-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NiST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el registro está activado para una lista de control de acceso web (ACL web) de la AWS WAF versión 2. Este control falla si el registro está desactivado para la ACL web.

**nota**  
Este control no comprueba si el registro de ACL AWS WAF web está habilitado para una cuenta a través de Amazon Security Lake.

El registro mantiene la confiabilidad, la disponibilidad y el rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de conformidad en muchas organizaciones. Al registrar el tráfico analizado por su ACL web, puede solucionar problemas de comportamiento de las aplicaciones.

### Corrección
<a name="waf-11-remediation"></a>

Para activar el registro de una ACL AWS WAF web, consulte [Administrar el registro de una ACL web en la Guía para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) *desarrolladores*.

## AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
<a name="waf-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIst.800-171.r2 3.14.6, NIst.800-171.r2 3.14.7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFv2::RuleGroup`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS WAF regla o un grupo de reglas tienen habilitadas CloudWatch las métricas de Amazon. El control falla si la regla o el grupo de reglas no tienen CloudWatch las métricas habilitadas.

La configuración de las CloudWatch métricas de AWS WAF las reglas y los grupos de reglas proporciona visibilidad del flujo de tráfico. Puede ver qué reglas de ACL se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.

### Corrección
<a name="waf-12-remediation"></a>

Para habilitar CloudWatch las métricas en un grupo de AWS WAF reglas, invoca la [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para habilitar CloudWatch las métricas en una AWS WAF regla, invoca la API [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html). Establezca el campo `CloudWatchMetricsEnabled` como `true`. Cuando utiliza la AWS WAF consola para crear reglas o grupos de reglas, las CloudWatch métricas se habilitan automáticamente.

# Controles CSPM de Security Hub para WorkSpaces
<a name="workspaces-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el WorkSpaces servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
<a name="workspaces-1"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un volumen de usuarios de Amazon WorkSpaces WorkSpace está cifrado en reposo. El control falla si el volumen WorkSpace de usuarios no está cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="workspaces-1-remediation"></a>

Para cifrar un volumen de WorkSpaces usuarios, consulte [Cifrar a WorkSpace en la Guía](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces administración de Amazon*.

## [WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
<a name="workspaces-2"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un volumen raíz de Amazon WorkSpaces WorkSpace está cifrado en reposo. El control falla si el volumen WorkSpace raíz no está cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="workspaces-2-remediation"></a>

Para cifrar un volumen WorkSpaces raíz, consulte [Cifrar a WorkSpace en la Guía](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces administración de Amazon*.

# Permisos necesarios para configurar controles en el CSPM de Security Hub
<a name="iam-permissions-controls-standards"></a>

Para ver información sobre los controles de seguridad y habilitar y deshabilitar los controles de seguridad en los estándares, la función AWS Identity and Access Management (IAM) que utilice para acceder al AWS Security Hub CSPM necesita permisos para realizar las siguientes operaciones de la API CSPM de Security Hub.

Para obtener los permisos necesarios, puede utilizar las [políticas administrada por el CSPM de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html). Como alternativa, puede actualizar las políticas de IAM personalizadas para incluir permisos para estas acciones.
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Devuelve información sobre un lote de controles de seguridad para la cuenta corriente y. Región de AWS
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**: Devuelve información sobre los controles de seguridad que se aplican a un estándar específico. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**: Identifica si un control de seguridad está activado o desactivado actualmente en cada uno de los estándares habilitados de la cuenta. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**: En el caso de un lote de controles de seguridad, identifica si cada control está actualmente activado o desactivado según un estándar específico. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**: Se utiliza para habilitar un control de seguridad en los estándares que incluyen el control, o para deshabilitar un control en los estándares. Se trata de un sustituto por lotes de la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) existente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**: se utiliza para habilitar o deshabilitar un lote de controles de seguridad en los estándares que incluyen los controles. Se trata de un sustituto por lotes de la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) existente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**: se utiliza para habilitar o deshabilitar un único control de seguridad en los estándares que incluyen el control 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**: devuelve detalles sobre los controles de seguridad específicos.

Además de lo anterior APIs, debe añadir un permiso para llamar `BatchGetControlEvaluations` a su función de IAM. Este permiso es necesario para ver el estado de habilitación y cumplimiento de un control, el recuento de sus resultados y la puntuación general de seguridad de los controles en la consola del CSPM de Security Hub. Como solo se llama a la consola`BatchGetControlEvaluations`, este permiso no se corresponde directamente con el CSPM APIs o AWS CLI los comandos de Security Hub documentados públicamente.

# Habilitación de controles en el CSPM de Security Hub
<a name="securityhub-standards-enable-disable-controls"></a>

En AWS Security Hub CSPM, un control es una salvaguardia dentro de un estándar de seguridad que ayuda a una organización a proteger la confidencialidad, integridad y disponibilidad de su información. Cada control CSPM de Security Hub está relacionado con un recurso específico AWS . Cuando habilita un control, el CSPM de Security Hub comienza a ejecutar comprobaciones de seguridad para el control, así como a generar resultados para este. Además, el CSPM de Security Hub tiene en cuenta todos los controles habilitados cuando calcula las puntuaciones de seguridad.

Puede elegir habilitar un control en todos los estándares de seguridad a los que se aplica. Como alternativa, puede configurar el estado de habilitación de forma diferente en los distintos estándares. Recomendamos la opción anterior, en la que el estado de habilitación de un control se alinea en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares a los que se aplica, consulte [Habilitación de un control en todos los estándares](enable-controls-overview.md). Para obtener instrucciones sobre cómo habilitar un control en un estándar específico, consulte [Habilitación de un control en un estándar específico](controls-configure.md).

Si habilita la agregación entre regiones e inicia sesión en una región de agregación, la consola del CSPM de Security Hub muestra los controles que están disponibles en al menos una región vinculada. Si un control está disponible en una región vinculada, pero no en la región de agregación, no podrá habilitar ni deshabilitar ese control desde la región de agregación.

Puede habilitar y deshabilitar los controles en cada región mediante la consola CSPM de Security Hub, la API CSPM de Security Hub o. AWS CLI

Las instrucciones para habilitar y deshabilitar los controles varían en función de si se utiliza o no la [configuración centralizada](central-configuration-intro.md). En este tema se describen las diferencias. La configuración central está disponible para los usuarios que integren Security Hub CSPM y. AWS Organizations Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los controles en entornos de varias cuentas y regiones. Si utiliza la configuración centralizada, puede habilitar un control en varias cuentas y regiones mediante el uso de políticas de configuración. Si no utiliza la configuración centralizada, debe habilitar un control por separado en cada cuenta y región.

# Habilitación de un control en todos los estándares
<a name="enable-controls-overview"></a>

Recomendamos habilitar el control CSPM de AWS Security Hub en todos los estándares a los que se aplica el control. Si activa los resultados de control consolidados, recibirá un resultado por comprobación de control, incluso si un control pertenece a más de un estándar.

## Habilitación entre estándares en entornos de varias cuentas y varias regiones
<a name="enable-controls-all-standards-central-configuration"></a>

[Para habilitar el control de seguridad en varias Cuentas de AWS direcciones Regiones de AWS, debe iniciar sesión en la cuenta de administrador CSPM de Security Hub delegada y usar la configuración central.](central-configuration-intro.md)

En la configuración centralizada, el administrador delegado puede crear políticas de configuración del CSPM de Security Hub que habilitan los controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas y unidades organizativas específicas (OUs) o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar todos los controles en una unidad organizativa y puede optar por habilitar solo los controles de Amazon Elastic Compute Cloud (EC2) en otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que habilite controles especificados en estándares, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**nota**  
El administrador delegado puede crear políticas de configuración para gestionar los controles en todos los estándares, excepto en el estándar de [gestión de servicios:](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower 

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

## Habilitación entre estándares en una sola cuenta y región
<a name="enable-controls-all-standards"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un control en una sola cuenta y región.

------
#### [ Security Hub CSPM console ]

**Para habilitar un control en los estándares en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**.

1. Seleccione la pestaña **Deshabilitado**.

1. Seleccione la opción situada junto a un control.

1. Seleccione **Habilitar el control** (esta opción no aparece en los controles que ya están activados).

1. Repítalo en cada región en la que quiere habilitar el control.

------
#### [ Security Hub CSPM API ]

**Para habilitar un control en los estándares en una cuenta y región**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Proporcione un ID de control de seguridad.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándar ARNs, ejecute. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)

1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`. Si sigue estos pasos para un control que ya está habilitado, la API devuelve una respuesta con el código de estado HTTP 200.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Repítalo en cada región en la que quiere habilitar el control.

------
#### [ AWS CLI ]

**Para habilitar un control en los estándares en una cuenta y región**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Proporcione un ID de control de seguridad.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándar ARNs, ejecute el `describe-standards` comando.

1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Repítalo en cada región en la que quiere habilitar el control.

------

# Habilitación de un control en un estándar específico
<a name="controls-configure"></a>

Al habilitar un estándar en AWS Security Hub CSPM, todos los controles que se le aplican se habilitan automáticamente en ese estándar (con la excepción de los estándares gestionados por servicios). Puede deshabilitar y rehabilitar controles específicos dentro del estándar. Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte [Habilitación de un control en todos los estándares](enable-controls-overview.md).

La página de detalles de un estándar contiene la lista de los controles aplicables al estándar e información sobre los controles que están actualmente habilitados y deshabilitados en ese estándar.

En la página de detalles de los estándares, también puede habilitar controles en estándares específicos. Debe habilitar los controles en estándares específicos por separado en cada uno y. Cuenta de AWS Región de AWS Cuando habilita un control en estándares específicos, solo afecta a la cuenta y a la región actuales.

Para habilitar un control en un estándar, primero debe habilitar al menos un estándar al que se aplique el control. Para obtener instrucciones sobre cómo habilitar un estándar, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Cuando habilita un control en uno o más estándares, el CSPM de Security Hub comienza a generar resultados para ese control. El CSPM de Security Hub incluye el [estado del control](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) en el cálculo del puntaje de seguridad general y de los puntajes de seguridad de los estándares. Incluso si habilita un control en varios estándares, recibirá un único resultado por control de seguridad en todos los estándares si activa los resultados de control consolidados. Para obtener más información, consulte [Resultados de control consolidados](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Para habilitar un control en un estándar, el control debe estar disponible en su región actual. Para obtener más información, consulte [Disponibilidad de controles por región](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Siga estos pasos para habilitar un control del CSPM de Security Hub en un *estándar específico*. En lugar de los siguientes pasos, también puede usar la acción de la API de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) para habilitar los controles en un estándar específico. Para obtener instrucciones sobre cómo habilitar un control en *todos* los estándares, consulte [Habilitación entre estándares en una sola cuenta y región](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Habilitación de un control en un estándar específico**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Elija **Estándares de seguridad** en el panel de navegación.

1. Seleccione **Ver resultados** para el estándar correspondiente.

1. Seleccione un control.

1. Seleccione **Habilitar el control** (esta opción no aparece en los controles que ya están activados). Confirme seleccionando **Habilitar**.

------
#### [ Security Hub CSPM API ]

**Habilitación de un control en un estándar específico**

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Esta API devuelve un control de seguridad independiente del estándar, no un control IDs específico del estándar. IDs

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indique el ARN del estándar en el que desee habilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Habilitación de un control en un estándar específico**

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute `describe-standards`. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indique el ARN del estándar en el que desee habilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Habilitación de nuevos controles en estándares habilitados automáticamente
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM publica periódicamente nuevos controles y los añade a uno o más estándares. Puede elegir si quiere habilitar automáticamente nuevos controles en sus estándares habilitados.

Recomendamos usar la configuración centralizada del CSPM de Security Hub para habilitar automáticamente los nuevos controles de seguridad. Puede crear políticas de configuración que incluyan una lista de controles que se deben deshabilitar en los estándares. Todos los demás controles, incluidos los recién lanzados, están habilitados de manera predeterminada. Como alternativa, puede crear políticas que incluyan una lista de controles que se deben habilitar en los estándares. Todos los demás controles, incluidos los recién lanzados, están deshabilitados de manera predeterminada. Para obtener más información, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

El CSPM de Security Hub no habilita controles nuevos cuando se agregan a un estándar que no haya habilitado.

Las siguientes instrucciones solo se aplican si no utiliza la configuración centralizada.

Elija el método de acceso que prefiera y siga los pasos para activar automáticamente los nuevos controles en los estándares habilitados.

**nota**  
Cuando habilita controles nuevos de manera automática según estas instrucciones, podrá interactuar con los controles en la consola y también mediante programación inmediatamente después de su publicación. Sin embargo, los controles habilitados automáticamente tienen un estado predeterminado temporal de **Desactivado**. El CSPM de Security Hub puede tardar varios días en procesar la publicación de un control y asignarlo con el estado **Habilitado** en la cuenta. Durante este periodo de procesamiento, puede habilitar o desactivar manualmente cualquier control, y el CSPM de Security Hub mantendrá la selección que realice, independientemente de si tiene activada la habilitación automática de controles.

------
#### [ Security Hub CSPM console ]

**Habilitación automática de nuevos controles**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Configuración** y luego elija la pestaña **General**.

1. En **Controles**, seleccione **Editar**.

1. Active la **Activación automática de nuevos controles en los estándares habilitados**.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

**Habilitación automática de nuevos controles**

1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Para activar automáticamente los nuevos controles para los estándares habilitados, establezca `AutoEnableControls` como `true`. Si no desea habilitar automáticamente los nuevos controles, establezca `AutoEnableControls` como falso.

------
#### [ AWS CLI ]

**Habilitación automática de nuevos controles**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Para activar automáticamente los nuevos controles para los estándares habilitados, especifique `--auto-enable-controls`. Si no desea habilitar automáticamente los nuevos controles, especifique `--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Comando de ejemplo:**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Si no habilita automáticamente los controles nuevos, debe habilitarlos manualmente. Para obtener instrucciones, consulte [Habilitación de controles en el CSPM de Security Hub](securityhub-standards-enable-disable-controls.md).

# Desactivación de controles en el CSPM de Security Hub
<a name="disable-controls-overview"></a>

Para reducir el ruido de resultados, puede resultar útil desactivar los controles que no sean relevantes para el entorno. En AWS Security Hub CSPM, puede deshabilitar un control en todos los estándares de seguridad o solo para estándares específicos. 

Si desactiva un control en todos los estándares, sucede lo siguiente:
+ Los controles de seguridad del control ya no se realizan.
+ No se generan resultados adicionales para el control.
+ Los resultados existentes se dejan de actualizar para el control.
+ Los resultados existentes del control se archivan de forma automática, por lo general dentro de un periodo de 3 a 5 días, según el mejor esfuerzo.
+ Security Hub CSPM elimina todas AWS Config las reglas relacionadas que haya creado para el control.

Si desactiva un control solo en estándares específicos, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad para el control únicamente en esos estándares. Esto también excluye el control de los [cálculos del puntaje de seguridad](standards-security-score.md) para cada uno de esos estándares. Si el control está habilitado en otros estándares, el CSPM de Security Hub retiene la regla asociada de AWS Config , si aplica, y continúa con la ejecución de las comprobaciones de seguridad para el control en los demás estándares. El CSPM de Security Hub también incluye el control cuando calcula el puntaje de seguridad para cada uno de los demás estándares, lo cual afecta el puntaje de seguridad general.

Si desactiva un estándar, todos los controles que se aplican al estándar se desactivan de forma automática para ese estándar. Sin embargo, los controles pueden permanecer habilitados en otros estándares. Cuando desactiva un estándar, el CSPM de Security Hub no lleva un seguimiento de qué controles se desactivaron para el estándar. En consecuencia, si vuelve a habilitar el mismo estándar, todos los controles que se aplican a él se habilitan de forma automática. Para obtener información acerca de la desactivación de un estándar, consulte [Desactivación de un estándar](disable-standards.md).

La desactivación de un control no constituye una acción permanente. Suponga que desactiva un control y luego habilita un estándar que incluye ese control. El control queda habilitado para ese estándar. Cuando habilita un estándar en el CSPM de Security Hub, todos los controles que se aplican al estándar se habilitan de forma automática. Para obtener información sobre cómo se habilita un estándar, consulte [Habilitación de un estándar](enable-standards.md).

**Topics**
+ [Deshabilitar un control en todos los estándares](disable-controls-across-standards.md)
+ [Deshabilitación de un control en un estándar específico](disable-controls-standard.md)
+ [Controles sugeridos para deshabilitar](controls-to-disable.md)

# Deshabilitar un control en todos los estándares
<a name="disable-controls-across-standards"></a>

Recomendamos deshabilitar el control CSPM AWS de Security Hub en todos los estándares para mantener la alineación en toda la organización. Si usted desactiva un control solo en estándares específicos, aún recibirá resultados para el control si este está habilitado en otros estándares.

## Desactivación entre estándares en varias cuentas y regiones
<a name="disable-controls-all-standards-central-configuration"></a>

[Para deshabilitar un control de seguridad en varias direcciones Cuentas de AWSRegiones de AWS, debe utilizar la configuración central.](central-configuration-intro.md)

Cuando se usa la configuración centralizada, el administrador delegado puede crear políticas de configuración del CSPM de Security Hub que desactivan los controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas específicas o a la raíz. OUs La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por deshabilitar todos los AWS CloudTrail controles de una unidad organizativa y puede optar por deshabilitar todos los controles de IAM en otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que deshabilite controles especificados en estándares, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**nota**  
El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de [servicios:. AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Los controles de este estándar deben configurarse en el servicio. AWS Control Tower 

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

## Deshabilitación entre varios estándares en una sola cuenta y región
<a name="disable-controls-all-standards"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede desactivar un control en una sola cuenta y región.

------
#### [ Security Hub CSPM console ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**.

1. Seleccione la opción situada junto a un control.

1. Elija la opción **Desactivar el control**. Esta opción no aparece para un control que ya esté desactivado.

1. Seleccione un motivo para deshabilitar el control y confírmelo seleccionando **Deshabilitar**.

1. Repítalo en cada región en la que quiere deshabilitar el control.

------
#### [ Security Hub CSPM API ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Proporcione un ID de control de seguridad.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Proporcione el ARN de cualquier estándar en el que esté habilitado el control. Para obtener el estándar ARNs, ejecute. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Repítalo en cada región en la que quiere deshabilitar el control.

------
#### [ AWS CLI ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Proporcione un ID de control de seguridad.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Proporcione el ARN de cualquier estándar en el que esté habilitado el control. Para obtener el estándar ARNs, ejecute el `describe-standards` comando.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Repítalo en cada región en la que quiere deshabilitar el control.

------

# Deshabilitación de un control en un estándar específico
<a name="disable-controls-standard"></a>

Puede desactivar un control solo en estándares de seguridad específicos, en lugar de hacerlo en todos los estándares. Si el control se aplica a otros estándares habilitados, AWS Security Hub CSPM seguirá realizando comprobaciones de seguridad para el control y usted seguirá recibiendo los resultados del control.

Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados a los que se aplica el control. Para obtener información sobre cómo desactivar un control en todos los estándares a los que aplica, consulte [Deshabilitar un control en todos los estándares](disable-controls-across-standards.md).

En la página de detalles de los estándares, también puede desactivar los controles de un estándar específico. Debe deshabilitar los controles de los estándares específicos por separado en cada uno Cuenta de AWS y. Región de AWS Cuando desactiva un control en estándares específicos, esto afecta únicamente a la cuenta y a la región actuales.

Elija el método de su preferencia y siga estos pasos para desactivar un control en uno o más estándares específicos.

------
#### [ Security Hub CSPM console ]

**Deshabilitación de un control en un estándar específico**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Elija **Estándares de seguridad** en el panel de navegación. Seleccione **Ver resultados** para el estándar correspondiente.

1. Seleccione un control.

1. Elija la opción **Desactivar el control**. Esta opción no aparece para un control que ya esté desactivado.

1. Indique el motivo para deshabilitar el control y confirme seleccionando **Deshabilitar**.

------
#### [ Security Hub CSPM API ]

**Deshabilitación de un control en un estándar específico**

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Esta API devuelve un control de seguridad independiente del estándar, no un control IDs específico del estándar. IDs

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Proporcione el ARN del estándar en el que desea deshabilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Deshabilitación de un control en un estándar específico**

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute `describe-standards`. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Proporcione el ARN del estándar en el que desea deshabilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Controles sugeridos para desactivar en el CSPM de Security Hub
<a name="controls-to-disable"></a>

Recomendamos deshabilitar algunos controles CSPM AWS de Security Hub para reducir los costes de búsqueda de ruido y de uso.

## Controles que utilizan recursos globales
<a name="controls-to-disable-global-resources"></a>

Algunos Servicios de AWS admiten recursos globales, lo que significa que puede acceder al recurso desde cualquier lugar. Región de AWS Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Una vez hecho esto, Security Hub aún ejecutará comprobaciones de seguridad en todas las regiones en las que esté habilitado un control y se cobrará en función de la cantidad de comprobaciones por cuenta y región. En consecuencia, para reducir el ruido de los resultados y disminuir los costos del CSPM de Security Hub, también debe desactivar los controles que involucren recursos globales en todas las regiones, excepto en la región que registra los recursos globales.

Si un control incluye recursos globales, pero solo está disponible en una región, si lo deshabilita en esa región, no podrá obtener resultados para el recurso subyacente. En ese caso, recomendamos que mantenga el control habilitado. Cuando se usa la agregación entre regiones, la región en la que el control se encuentra disponible debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles involucran recursos globales, pero solo están disponibles en una única región:
+ **Todos los CloudFront controles**: disponibles solo en la región EE.UU. Este (Norte de Virginia)
+ **GlobalAccelerator.1** — Disponible solo en la región EE.UU. Oeste (Oregón)
+ **Route53.2**: disponible solo en la región este de EE. UU. (Norte de Virginia)
+ **WAF.1, WAF.6, WAF.7 y WAF.8**: disponibles solo en la región este de EE. UU. (Norte de Virginia)

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener más información acerca de la configuración centralizada, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Para los controles cuya programación es de tipo *periódica*, es necesario desactivarlos en el CSPM de Security Hub para evitar cargos. Si se establece el AWS Config parámetro `includeGlobalResourceTypes` en, `false` no se ven afectados los controles periódicos de CSPM de Security Hub.

Los siguientes controles del CSPM de Security Hub usan recursos globales:
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)

## CloudTrail controles de registro
<a name="controls-to-disable-cloudtrail-logging"></a>

El control [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) evalúa el uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos registros en una cuenta de registro centralizada, debe habilitar este control solo en la cuenta y en el Región de AWS lugar donde se lleva a cabo el registro centralizado.

Si utiliza la [configuración centralizada](central-configuration-intro.md), el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, puede suprimir los resultados del control CloudTrail .2 para reducir el ruido de detección.

## CloudWatch controles de alarma
<a name="controls-to-disable-cloudwatch-alarms"></a>

Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar los siguientes controles, que se centran en CloudWatch las alarmas:
+ [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)

# Descripción de las comprobaciones de seguridad y las puntuaciones en el CSPM de Security Hub
<a name="securityhub-controls-finding-generation"></a>

Para cada control que habilite, AWS Security Hub CSPM ejecuta comprobaciones de seguridad. Una comprobación de seguridad produce un resultado que indica si un AWS recurso específico cumple con las reglas que incluye el control.

Algunas comprobaciones se ejecutan de forma periódica. Otras comprobaciones solo se ejecutan cuando se produce un cambio en el estado del recurso. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Muchas comprobaciones de seguridad utilizan reglas AWS Config administradas o personalizadas para establecer los requisitos de conformidad. Para ejecutar estas comprobaciones, debe configurar AWS Config y activar el registro de recursos para los recursos necesarios. Para obtener más información sobre la configuración AWS Config, consulte[Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md). Para obtener una lista de AWS Config los recursos que debe registrar para cada norma, consulte[AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md). Otros controles usan funciones de Lambda personalizadas administradas por el CSPM de Security Hub y no requieren requisitos previos.

A medida que el CSPM de Security Hub ejecuta comprobaciones de seguridad, genera resultados y les asigna un estado de cumplimiento. Para obtener más información sobre el estado de conformidad, consulte [Evaluación del estado de cumplimiento de los resultados del CSPM de Security Hub](controls-overall-status.md#controls-overall-status-compliance-status).

El CSPM de Security Hub usa el estado de cumplimiento de los resultados del control para determinar el estado general del control. Con base en el estado del control, el CSPM de Security Hub también calcula una puntuación de seguridad para todos los controles habilitados y para estándares específicos. Para obtener más información, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md) y [Calcular las puntuaciones de seguridad](standards-security-score.md).

Si activa los resultados consolidados de controles, el CSPM de Security Hub genera un único resultado incluso cuando un control se asocia con más de un estándar. Para obtener más información, consulte [Resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md)
+ [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md)
+ [Generación y actualización de los resultados de control](controls-findings-create-update.md)
+ [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md)
+ [Calcular las puntuaciones de seguridad](standards-security-score.md)

# AWS Config Recursos necesarios para los hallazgos de control
<a name="controls-config-resources"></a>

En AWS Security Hub CSPM, algunos controles utilizan AWS Config reglas vinculadas a servicios que detectan los cambios de configuración en los recursos. AWS Para que Security Hub CSPM genere resultados precisos para estos controles, debe habilitar AWS Config y activar el registro de recursos en. AWS Config Para obtener información sobre cómo Security Hub CSPM usa AWS Config las reglas y cómo habilitarlas y configurarlas AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información detallada sobre el registro de recursos, consulte [Uso del registrador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la *Guía para desarrolladores de AWS Config *.

Para recibir resultados de control precisos, debe activar el registro de AWS Config recursos para los controles habilitados con un tipo de programación *activado por cambios*. Algunos controles con un tipo de programación *periódica* también requieren registro de recursos. En esta página se enumeran los recursos requeridos para estos controles del CSPM de Security Hub.

Los controles CSPM de Security Hub pueden basarse en AWS Config reglas administradas o reglas CSPM personalizadas de Security Hub. Asegúrese de que no haya políticas AWS Identity and Access Management (de IAM) o políticas AWS Organizations administradas que impidan tener AWS Config permiso para registrar sus recursos. Los controles CSPM de Security Hub evalúan las configuraciones de los recursos directamente y no tienen en cuenta AWS Organizations las políticas.

**nota**  
Si Regiones de AWS un control no está disponible, el recurso correspondiente no está disponible en. AWS Config Para obtener una lista de estos límites, consulte [Límites regionales de los controles del CSPM de Security Hub](regions-controls.md).

**Topics**
+ [Recursos requeridos para todos los controles del CSPM de Security Hub](#all-controls-config-resources)
+ [Recursos necesarios para el estándar AWS fundamental de mejores prácticas de seguridad](#securityhub-standards-fsbp-config-resources)
+ [Recursos necesarios para el índice de referencia de las AWS fundaciones de la CEI](#securityhub-standards-cis-config-resources)
+ [Recursos necesarios para el estándar NIST SP 800-53 Revisión 5](#nist-config-resources)
+ [Recursos necesarios para el estándar NIST SP 800-171 Revisión 2](#nist-800-171-config-resources)
+ [Recursos necesarios para PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Recursos necesarios para el estándar AWS de etiquetado de recursos](#tagging-config-resources)

## Recursos requeridos para todos los controles del CSPM de Security Hub
<a name="all-controls-config-resources"></a>

Para que Security Hub CSPM genere resultados para los controles activados por cambios que estén habilitados y usen una AWS Config regla, debe registrar los siguientes tipos de recursos en. AWS Config Esta tabla también indica qué controles evalúan un tipo específico de recurso. Un único control puede evaluar más de un tipo de recurso.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/controls-config-resources.html)

## Recursos necesarios para el estándar AWS fundamental de mejores prácticas de seguridad
<a name="securityhub-standards-fsbp-config-resources"></a>

Para que Security Hub CSPM informe con precisión las conclusiones de los cambios, los controles activados que se aplican al estándar AWS Foundational Security Best Practices (v.1.0.0), están habilitados y utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos. AWS Config Para obtener información sobre este estándar, consulte [AWS Estándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM)](fsbp-standard.md).


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (YO SOY)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servicio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift sin servidor  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## Recursos necesarios para el índice de referencia de las AWS fundaciones de la CEI
<a name="securityhub-standards-cis-config-resources"></a>

Para ejecutar comprobaciones de seguridad para los controles habilitados que se aplican al Center for Internet Security (CIS) AWS Foundations Benchmark, Security Hub CSPM sigue los pasos de auditoría exactos prescritos para las comprobaciones o utiliza reglas AWS Config gestionadas específicas. Para información sobre este estándar en el CSPM de Security Hub, consulte [CIS AWS Foundations es el punto de referencia en Security Hub (CSPM)](cis-aws-foundations-benchmark.md).

### Recursos necesarios para CIS v5.0.0
<a name="cis-5.0-config-resources"></a>

Para que Security Hub CSPM informe con precisión de las conclusiones de los controles activados por cambios de CIS v5.0.0 habilitados que utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos en. AWS Config


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos necesarios para CIS v3.0.0
<a name="cis-3.0-config-resources"></a>

Para que Security Hub CSPM informe con precisión de las conclusiones de los controles activados por cambios de CIS v3.0.0 habilitados que utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos en. AWS Config


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos de necesarios para CIS v1.4.0
<a name="cis-1.4-config-resources"></a>

Para que Security Hub CSPM informe con precisión de las conclusiones de los controles activados por cambios de CIS v1.4.0 habilitados que utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos en. AWS Config


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos de necesarios para CIS v1.2.0
<a name="cis-1.2-config-resources"></a>

Para que Security Hub CSPM informe con precisión de las conclusiones de los controles activados por cambios de CIS v1.2.0 habilitados que utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos en. AWS Config


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## Recursos necesarios para el estándar NIST SP 800-53 Revisión 5
<a name="nist-config-resources"></a>

Para que Security Hub CSPM informe con precisión las conclusiones de los cambios, los controles activados que se aplican al estándar NIST SP 800-53 revisión 5, están habilitados y utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos. AWS Config Para obtener información sobre este estándar, consulte [Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub](standards-reference-nist-800-53.md).


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (YO SOY)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servicio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Recursos necesarios para el estándar NIST SP 800-171 Revisión 2
<a name="nist-800-171-config-resources"></a>

Para que Security Hub CSPM informe con precisión las conclusiones de los cambios, los controles activados que se aplican al estándar NIST SP 800-171 revisión 2, están habilitados y utilizan una AWS Config regla, debe registrar los siguientes tipos de recursos. AWS Config Para obtener información sobre este estándar, consulte [Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub](standards-reference-nist-800-171.md).


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(YO SOY) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Recursos necesarios para PCI DSS v3.2.1
<a name="securityhub-standards-pci-config-resources"></a>

Para que el CSPM de Security Hub informe con precisión los resultados, debe registrar los siguientes tipos de recursos en AWS Config. Esto se aplica a los controles que: (1) se aplican a la versión 3.2.1 del estándar Payment Card Industry Data Security Standard (PCI DSS), (2) están habilitados y (3) usan una regla de AWS Config . Para obtener información sobre este estándar, consulte [PCI DSS en el CSPM de Security Hub](pci-standard.md).


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|   OpenSearch Servicio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## Recursos necesarios para el estándar AWS de etiquetado de recursos
<a name="tagging-config-resources"></a>

Todos los controles que se aplican al estándar de etiquetado de AWS recursos se activan mediante cambios y utilizan una AWS Config regla. Para que Security Hub CSPM informe con precisión de los hallazgos de estos controles, debe registrar los siguientes tipos de recursos en. AWS Config Para obtener información sobre este estándar, consulte [AWS Estándar de etiquetado de recursos en Security Hub (CSPM)](standards-tagging.md).


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (YO SOY)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (Analizador de acceso IAM)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT Eventos  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT inalámbrico  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (para Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
|  OpenSearch Servicio Amazon |  `AWS::OpenSearch::Domain`  | 
| AWS Private Certificate Authority |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# Programación para ejecutar comprobaciones de seguridad
<a name="securityhub-standards-schedule"></a>

Tras activar un estándar de seguridad, AWS Security Hub CSPM comienza a ejecutar todas las comprobaciones en un plazo de dos horas. La mayoría de las comprobaciones comienzan a ejecutarse en 25 minutos. El CSPM de Security Hub ejecuta comprobaciones mediante la evaluación de la regla subyacente de un control. Hasta que un control complete su primera ejecución de comprobaciones, su estado es **Sin datos**.

Al habilitar un nuevo estándar, Security Hub CSPM puede tardar hasta 24 horas en generar resultados para los controles que utilizan la misma regla subyacente AWS Config vinculada a servicios que los controles habilitados de otros estándares habilitados. Por ejemplo, si habilita el control [Lambda.1](lambda-controls.md#lambda-1) en el estándar AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crea la regla vinculada al servicio y, por lo general, genera resultados en cuestión de minutos. Después de esto, si habilita el control Lambda.1 en el estándar Estándar de seguridad de datos para la industria de pagos (PCI DSS), el CSPM de Security Hub podría tardar hasta 24 horas en generar resultados para el control porque utiliza la misma regla vinculada al servicio.

Después de la comprobación inicial, la programación de cada control puede ser periódica o activada por cambios. *En el caso de un control que se basa en una AWS Config regla administrada, la descripción del control incluye un enlace a la descripción de la regla en la Guía para desarrolladores.AWS Config * Esa descripción especifica si la regla se activa por cambios o si es periódica. 

## Controles de seguridad periódicos
<a name="periodic-checks"></a>

Los controles de seguridad periódicos se ejecutan automáticamente en las 12 o 24 horas posteriores a la última ejecución. El CSPM de Security Hub determina la periodicidad, y usted no puede cambiarla. Los controles periódicos reflejan una evaluación en el momento en que se ejecuta la comprobación.

Si actualiza el estado de flujo de trabajo de un resultado de control periódico y, a continuación, en la siguiente comprobación, el estado de cumplimiento del resultado sigue siendo el mismo, el estado de flujo de trabajo permanece en su estado modificado. Por ejemplo, si encuentra un error en la búsqueda del control [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotación debe estar habilitada*) y, a continuación, corrige la búsqueda, Security Hub CSPM cambia el estado del flujo de trabajo de a. `NEW` `RESOLVED` Si desactiva la rotación de claves de KMS antes de la siguiente comprobación periódica, el estado del flujo de trabajo del resultado se mantiene como `RESOLVED`.

Las comprobaciones que utilizan funciones de Lambda personalizadas del CSPM de Security Hub son periódicas.

## Controles de seguridad desencadenados por cambios
<a name="change-triggered-checks"></a>

Las comprobaciones de seguridad activadas por cambios se ejecutan cuando el recurso asociado cambia de estado. AWS Config le permite elegir entre el *registro continuo* de los cambios en el estado del recurso y el registro *diario*. Si elige el registro diario, AWS Config proporciona los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto podría retrasar la generación de resultados del CSPM de Security Hub hasta que finalice un período de 24 horas. Independientemente del período de grabación que haya elegido, el CSPM de Security Hub comprueba cada 18 horas para asegurarse de que no AWS Config se haya perdido ninguna actualización de recursos.

Por lo general, el CSPM de Security Hub utiliza reglas activadas por cambios siempre que es posible. Para que un recurso utilice una regla activada por cambios, debe ser compatible con los elementos de configuración. AWS Config 

# Generación y actualización de los resultados de control
<a name="controls-findings-create-update"></a>

AWS Security Hub CSPM genera y actualiza las conclusiones de control cuando realiza comprobaciones con los controles de seguridad. Los resultados de control utilizan el [Formato de resultados de seguridad de AWS](securityhub-findings-format.md).

El CSPM de Security Hub normalmente cobra por cada comprobación de seguridad de un control. Sin embargo, si varios controles utilizan la misma AWS Config regla, Security Hub CSPM solo cobrará una vez por cada comprobación según la regla. Por ejemplo, varios controles utilizan la AWS Config `iam-password-policy` regla en el estándar CIS AWS Foundations Benchmark y en el estándar AWS Foundational Security Best Practices. Cada vez que el CSPM de Security Hub ejecuta una comprobación con esa regla, genera un resultado de control independiente para cada control relacionado, pero cobra solo una vez por la comprobación.

Si el tamaño de un resultado de control excede el máximo de 240 KB, el CSPM de Security Hub elimina el objeto `Resource.Details` del resultado. En el caso de los controles respaldados por AWS Config recursos, puede revisar los detalles de los recursos mediante la AWS Config consola.

**Topics**
+ [Resultados de control consolidados](#consolidated-control-findings)
+ [Generación, actualización y archivado de resultados de control](#securityhub-standards-results-updating)
+ [Automatización y supresión de resultados de control](#automation-control-findings)
+ [Detalles de cumplimiento para los resultados de control](#control-findings-asff-compliance)
+ [ProductFields detalles de los hallazgos de control](#control-findings-asff-productfields)
+ [Niveles de gravedad correspondientes a los resultados de control](#control-findings-severity)

## Resultados de control consolidados
<a name="consolidated-control-findings"></a>

Si la cuenta tiene habilitados los resultados consolidados de control, el CSPM de Security Hub genera un único resultado (o una actualización del resultado) por cada comprobación de seguridad de un control, incluso cuando ese control corresponde a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte [Referencia de controles para el CSPM de Security Hub](securityhub-controls-reference.md). Recomendamos habilitar los resultados de control consolidados para reducir el ruido de resultados.

Si habilitó el CSPM de Security Hub Cuenta de AWS antes del 23 de febrero de 2023, puede habilitar los hallazgos de control consolidados siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilita el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha, los resultados consolidados de control se habilitan automáticamente para la cuenta.

Si utiliza la [integración del CSPM de Security Hub con AWS Organizations](securityhub-accounts-orgs.md) o invitó cuentas de miembro mediante un [proceso manual](account-management-manual.md), los resultados consolidados de control se habilitan para las cuentas de miembro solo si están habilitados para la cuenta de administrador. Si la característica está desactivada para la cuenta de administrador, también lo estará para las cuentas de miembro. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes. Además, si el administrador utiliza la [configuración centralizada](central-configuration-intro.md) para administrar el CSPM de Security Hub para varias cuentas, no puede usar las políticas de configuración centralizada para habilitar o desactivar los resultados consolidados de control para las cuentas.

Si desactiva los resultados consolidados de control para la cuenta, el CSPM de Security Hub genera o actualiza un resultado de control independiente por cada estándar habilitado que incluya un control. Por ejemplo, si habilita cuatro estándares que comparten un control, recibe cuatro resultados independientes después de una comprobación de seguridad para ese control. Si habilita los resultados de control consolidados, solo recibirá un resultado.

Cuando habilita los resultados consolidados de control, el CSPM de Security Hub genera nuevos resultados que no dependen de ningún estándar y archiva los resultados anteriores que sí estaban asociados a estándares. Algunos campos y valores de los resultados de control cambiarán, lo que podría afectar los flujos de trabajo existentes. Para obtener información sobre estos cambios, consulte [Resultados de control consolidados: cambios en ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Habilitar los resultados consolidados de control también podría afectar los resultados que los productos de terceros integrados reciben del CSPM de Security Hub. Si utiliza la solución [Automated Security Response en la AWS versión 2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tenga en cuenta que admite los resultados de control consolidados. 

Para habilitar o deshabilitar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

**nota**  
Después de habilitar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados consolidados y archivar los resultados existentes que dependían de estándares. De forma similar, después de desactivar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados basados en estándares y archivar los resultados consolidados existentes. Durante estos periodos, es posible que vea una combinación de resultados que no dependen de estándares y resultados basados en estándares en la cuenta.

------
#### [ Security Hub CSPM console ]

**Para habilitar o desactivar los resultados consolidados de control**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, en **Configuración**, seleccione **General**.

1. En la sección **Controles**, elija **Editar**.

1. Use el conmutador **Resultados consolidados de control** para habilitar o desactivar los resultados consolidados de control.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

Para habilitar o desactivar los resultados consolidados de control mediante programación utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) de la API del CSPM de Security Hub. O bien, si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)comando. 

Para el parámetro `control-finding-generator`, especifique `SECURITY_CONTROL` para habilitar los resultados consolidados de control. Para desactivar los resultados consolidados de control, especifique `STANDARD_CONTROL`.

Por ejemplo, el siguiente AWS CLI comando habilita los hallazgos de control consolidados.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

El siguiente AWS CLI comando desactiva las conclusiones de control consolidadas.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## Generación, actualización y archivado de resultados de control
<a name="securityhub-standards-results-updating"></a>

El CSPM de Security Hub ejecuta comprobaciones de seguridad según una [programación](securityhub-standards-schedule.md). La primera vez que Security Hub CSPM ejecuta una comprobación de seguridad para un control, genera un nuevo hallazgo para cada AWS recurso que el control comprueba. Cada vez que el CSPM de Security Hub ejecuta posteriormente una comprobación de seguridad para el control, actualiza los resultados existentes para reflejar los resultados de la comprobación. Esto significa que puede utilizar los datos de resultados individuales para hacer un seguimiento de cómo cambia el cumplimiento de determinados recursos con respecto a controles específicos.

Por ejemplo, si el estado de cumplimiento de un recurso cambia de `FAILED` a `PASSED` para un control determinado, el CSPM de Security Hub no genera un resultado nuevo. En su lugar, el CSPM de Security Hub actualiza el resultado existente para el control y el recurso. En el resultado, el CSPM de Security Hub cambia el valor del campo de estado de cumplimiento `Compliance.Status` a `PASSED`. El CSPM de Security Hub también actualiza los valores de otros campos adicionales para reflejar los resultados de la comprobación. Por ejemplo, la etiqueta de gravedad, el estado del flujo de trabajo y las marcas de tiempo que indican cuándo el CSPM de Security Hub ejecutó la comprobación más recientemente y actualizó el resultado.

Al reportar cambios en el estado de cumplimiento, el CSPM de Security Hub podría actualizar cualquiera de los siguientes campos en un resultado de control:
+ `Compliance.Status`: el nuevo estado de cumplimiento del recurso para el control especificado.
+ `FindingProviderFields.Severity.Label`: la nueva representación cualitativa de la gravedad del resultado, como `LOW`, `MEDIUM` o `HIGH`.
+ `FindingProviderFields.Severity.Original`: la nueva representación cuantitativa de la gravedad del resultado, como `0` para un recurso conforme.
+ `FirstObservedAt`: cuándo cambió por última vez el estado de cumplimiento del recurso.
+ `LastObservedAt`: cuándo el CSPM de Security Hub ejecutó más recientemente la comprobación de seguridad para el control y el recurso especificados.
+ `ProcessedAt`: cuándo el CSPM de Security Hub comenzó más recientemente a procesar el resultado.
+ `ProductFields.PreviousComplianceStatus`: el estado de cumplimiento anterior (`Compliance.Status`) del recurso para el control especificado.
+ `UpdatedAt`: cuándo el CSPM de Security Hub actualizó más recientemente el resultado.
+ `Workflow.Status`: el estado de la investigación del resultado, basado en el nuevo estado de cumplimiento del recurso para el control especificado.

Si el CSPM de Security Hub actualiza un campo depende principalmente de los resultados de la comprobación de seguridad más reciente para el control y el recurso correspondientes. Por ejemplo, si el estado de cumplimiento de un recurso cambia de `PASSED` a `FAILED` para un control determinado, el CSPM de Security Hub cambia el estado del flujo de trabajo del resultado a `NEW`. Para hacer seguimiento a las actualizaciones de resultados individuales, puede consultar el historial de un resultado. Para obtener detalles sobre campos individuales en los resultados, consulte el [Formato de resultados de seguridad de AWS (ASFF)](securityhub-findings-format.md).

En ciertos casos excepcionales, el CSPM de Security Hub genera resultados nuevos cuando un control ejecuta comprobaciones posteriores, en lugar de actualizar los resultados existentes. Esto puede ocurrir si hay un problema con la AWS Config regla que respalda un control. Si esto ocurre, el CSPM de Security Hub archiva el resultado existente y genera un resultado nuevo para cada comprobación. En los nuevos resultados, el estado de cumplimiento es `NOT_AVAILABLE` y el estado del registro es `ARCHIVED`. Tras solucionar el problema con la AWS Config regla, Security Hub CSPM genera nuevas conclusiones y comienza a actualizarlas para realizar un seguimiento de los cambios posteriores en el estado de conformidad de los recursos individuales.

Además de generar y actualizar resultados de control, el CSPM de Security Hub archiva automáticamente los resultados de control que cumplen ciertos criterios. El CSPM de Security Hub archiva un resultado si el control está desactivado, el recurso especificado se elimina o el recurso especificado deja de existir. Un recurso puede dejar de existir porque el servicio asociado ya no se utiliza. Más específicamente, el CSPM de Security Hub archiva automáticamente un resultado de control si cumple el siguiente criterio:
+ El resultado no se ha actualizado durante 3 a 5 días. Tenga en cuenta que este archivado basado en ese intervalo de tiempo se realiza solo cuando es posible y no está garantizado.
+ Se devolvió la AWS Config evaluación asociada `NOT_APPLICABLE` para determinar el estado de conformidad del recurso especificado.

Para determinar si un resultado está archivado, puede consultar el campo `RecordState` del resultado. Si un resultado está archivado, el valor de este campo es `ARCHIVED`.

El CSPM de Security Hub almacena los resultados de control archivados durante 30 días. Después de 30 días, los resultados caducan y el CSPM de Security Hub los elimina de forma permanente. Para determinar si un resultado de control archivado ha caducado, el CSPM de Security Hub basa su cálculo en el valor del campo `UpdatedAt` del resultado.

Para almacenar resultados de control archivados por más de 30 días, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

**nota**  
Antes del 3 de julio de 2025, el CSPM de Security Hub generaba y actualizaba los resultados de control de manera distinta cuando el estado de cumplimiento de un recurso cambiaba para un control. Anteriormente, el CSPM de Security Hub creaba un resultado de control nuevo y archivaba el resultado existente para un recurso. Por lo tanto, podría tener varios resultados archivados para un control y recurso en particular hasta que dichos resultados caducaran (después de 30 días).

## Automatización y supresión de resultados de control
<a name="automation-control-findings"></a>

Puede usar reglas de automatización del CSPM de Security Hub para actualizar o suprimir resultados de control específicos. Aún si suprime un resultado, podrá acceder a este. Sin embargo, la supresión indica que considera que no es necesario realizar ninguna acción para abordar el resultado.

La supresión de resultados puede reducir el ruido que estos generan. Por ejemplo, podría suprimir resultados de control que se generan en cuentas de prueba. O bien, podría suprimir resultados relacionados con recursos específicos. Para obtener más información sobre cómo actualizar o suprimir resultados automáticamente, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md). 

Las reglas de automatización son adecuadas cuando desea actualizar o suprimir resultados de control específicos. Sin embargo, si un control no es relevante para la organización o caso de uso, recomendamos [desactivar el control](disable-controls-overview.md). Si desactiva un control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad para ese control y no se cobra por él.

## Detalles de cumplimiento para los resultados de control
<a name="control-findings-asff-compliance"></a>

En las conclusiones generadas por las comprobaciones de seguridad de los controles, el objeto de [conformidad](asff-top-level-attributes.md#asff-compliance) y los campos del formato de comprobación de AWS seguridad (ASFF) proporcionan los detalles de conformidad de los recursos individuales comprobados por un control. Esto incluye la siguiente información:
+ `AssociatedStandards`: los estándares habilitados en los que el control está habilitado.
+ `RelatedRequirements`: los requisitos relacionados correspondientes al control en todos los estándares habilitados. Estos requisitos derivan de marcos de seguridad de terceros aplicables al control, como el estándar Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) o el estándar NIST SP 800-171 Revisión 2.
+ `SecurityControlId`: el identificador del control en los estándares que el CSPM de Security Hub admite.
+ `Status`: el resultado de la comprobación más reciente que el CSPM de Security Hub ejecutó para el control. Los resultados de comprobaciones anteriores se retienen en el historial del resultado.
+ `StatusReasons`: una matriz que enumera los motivos del valor especificado en el campo `Status`. Para cada motivo, esto incluye un código de motivo y una descripción.

En la siguiente tabla aparecen los códigos de motivo y las descripciones que un resultado podría incluir en la matriz `StatusReasons`. Los pasos de remediación varían según el control que haya generado un resultado con un código de motivo específicado. Para consultar la guía de remediación de un control, consulte la [Referencia de controles para el CSPM de Security Hub](securityhub-controls-reference.md).


| Código de motivo | Compliance status (Estado de conformidad) | Description (Descripción) | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  El registro CloudTrail multirregional no tiene un filtro métrico válido.  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  Los filtros métricos no están presentes en el sendero multirregional. CloudTrail   | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida.  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  Los CloudTrail senderos multirregionales no se encuentran en la región actual.  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  No hay acciones de alarma válidas presentes.  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch las alarmas no existen en la cuenta.  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config el estado es `ConfigError`  |  AWS Config acceso denegado. Compruebe que AWS Config está activado y que se le han concedido los permisos suficientes.  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config evaluó sus recursos en función de la regla. La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación.  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` (para Config.1)  |  La AWS Config grabadora usa un rol de IAM personalizado en lugar del rol AWS Config vinculado al servicio, y el parámetro `includeConfigServiceLinkedRoleCheck` personalizado de Config.1 no está establecido en. `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` (para Config.1)  |  AWS Config no está activado con la grabadora de configuración encendida.  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` (para Config.1)  |  AWS Config no registra todos los tipos de recursos que corresponden a los controles CSPM de Security Hub habilitados. Active la grabación de los siguientes recursos:. *Resources that aren't being recorded*  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  El estado de cumplimiento se `NOT_AVAILABLE` debe a que AWS Config devolvió el estado de **No aplicable**. AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de **No aplicable**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config el estado es `ConfigError`  |  Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación. La descripción proporciona la información específica del motivo. El tipo de error puede ser uno de los siguientes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config el estado es `ConfigError`  |  La AWS Config regla está en proceso de creación.  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  Se ha producido un error desconocido.  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  El CSPM de Security Hub no puede realizar una comprobación en un tiempo de ejecución de Lambda personalizado.  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  El resultado está en un estado `WARNING` porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  Los filtros de métricas de CloudWatch Logs no tienen una suscripción válida a Amazon SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  El resultado se encuentra en un estado de `WARNING`. El tema de SNS asociado a esta regla es propiedad de otra cuenta. La cuenta actual no puede obtener la información de la suscripción. La cuenta propietaria del tema de SNS debe conceder a la cuenta actual el permiso `sns:ListSubscriptionsByTopic` para el tema de SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  El resultado se encuentra en un estado de `WARNING`, porque el tema de SNS asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  El tema de SNS asociado a esta regla no es válido.  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  La operación de la API relevante superó la tasa permitida.  | 

## ProductFields detalles de los hallazgos de control
<a name="control-findings-asff-productfields"></a>

En los resultados generados por las comprobaciones de seguridad de los controles, el [ProductFields](asff-top-level-attributes.md#asff-productfields)atributo del formato de búsqueda de AWS seguridad (ASFF) puede incluir los siguientes campos.

`ArchivalReasons:0/Description`  
Describe por qué el CSPM de Security Hub archivó un resultado.  
Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de [resultados consolidados de control](#consolidated-control-findings).

`ArchivalReasons:0/ReasonCode`  
Especifica por qué el CSPM de Security Hub archivó un resultado.  
Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de [resultados consolidados de control](#consolidated-control-findings).

`PreviousComplianceStatus`  
El estado de cumplimiento previo (`Compliance.Status`) del recurso para el control especificado, según la actualización más reciente del resultado. Si el estado de cumplimiento del recurso no cambió durante la actualización más reciente, este valor es igual al valor del campo `Compliance.Status` del resultado. Para obtener una lista de los posibles valores, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).

`StandardsGuideArn` o `StandardsArn`  
El ARN del estándar asociado con el control.  
Para el estándar CIS AWS Foundations Benchmark, el campo es`StandardsGuideArn`. Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. `StandardsArn`  
Estos campos se eliminan en favor de `Compliance.AssociatedStandards` si habilita los [resultados de control consolidados](#consolidated-control-findings).

`StandardsGuideSubscriptionArn` o `StandardsSubscriptionArn`  
El ARN de la suscripción de la cuenta al estándar.  
Para el estándar de referencia de CIS AWS Foundations, el campo es. `StandardsGuideSubscriptionArn` Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. `StandardsSubscriptionArn`  
Estos campos se eliminan si habilita los [resultados de control consolidados](#consolidated-control-findings).

`RuleId` o `ControlId`  
El identificador del control.  
Para la versión 1.2.0 del estándar CIS AWS Foundations Benchmark, el campo es. `RuleId` Para otros estándares, incluidas las versiones posteriores del estándar de Indicador de referencia de AWS de CIS, el campo es `ControlId`.  
Estos campos se eliminan en favor de `Compliance.SecurityControlId` si habilita los [resultados de control consolidados](#consolidated-control-findings).

`RecommendationUrl`  
La URL de la información de remediación del control. Este campo se elimina a favor de `Remediation.Recommendation.Url` si habilita los [resultados de control consolidados](#consolidated-control-findings).

`RelatedAWSResources:0/name`  
El nombre del recurso asociado a el resultado.

`RelatedAWSResource:0/type`  
El tipo de recurso asociado con el control.

`StandardsControlArn`  
El ARN del control. Este campo se elimina si habilita los [resultados de control consolidados](#consolidated-control-findings).

`aws/securityhub/ProductName`  
Para los resultados de control, el nombre del producto es `Security Hub`.

`aws/securityhub/CompanyName`  
Para los resultados de control, el nombre de la empresa es `AWS`.

`aws/securityhub/annotation`  
Una descripción del problema descubierto por el control.

`aws/securityhub/FindingId`  
El identificador del resultado.  
Este campo no hace referencia a un estándar si habilita los [resultados de control consolidados](#consolidated-control-findings).

## Niveles de gravedad correspondientes a los resultados de control
<a name="control-findings-severity"></a>

La gravedad asignada a un control del CSPM de Security Hub indica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

### Criterios de gravedad
<a name="securityhub-standards-results-severity-criteria"></a>

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:
+ **¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control?** La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.
+ **¿Qué posibilidades hay de que la debilidad comprometa sus recursos Cuentas de AWS o sus recursos?** Si sus recursos se Cuentas de AWS ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o AWS infraestructura se ven afectadas de alguna manera. La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus recursos Servicios de AWS o de sus recursos.

Como ejemplo, fíjese en las siguientes debilidades de configuración:
+ Las claves de acceso de los usuarios no se renuevan cada 90 días.
+ Existe la clave de usuario raíz de IAM.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso asociado a una aplicación crítica para la misión es más importante que uno asociado a pruebas que no son de producción. Para recopilar información sobre la criticidad de los recursos, utilice el `Criticality` campo del formato de búsqueda de AWS seguridad (ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **Compromiso muy probable**  |  **Compromiso probable**  |  **Compromiso poco probable**  |  **Compromiso muy poco probable**  | 
|  **Muy fácil de explotar**  |  Critico  |  Critico  |  Alto  |  Medio  | 
|  **Algo fácil de explotar**  |  Critico  |  Alto  |  Medio  |  Medio  | 
|  **Algo difícil de explotar**  |  Alto  |  Medio  |  Medio  |  Bajo  | 
|  **Muy difícil de explotar**  |  Medio  |  Medio  |  Bajo  |  Bajo  | 

### Definiciones de gravedad
<a name="securityhub-standards-results-severity-definitions"></a>

Las etiquetas de gravedad se definen de la siguiente manera.

**Crítico: el problema debe solucionarse de inmediato para evitar una escalada.**  
Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.  
En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

**Alto: el problema debe abordarse con prioridad a corto plazo.**  
Por ejemplo, si un grupo de seguridad de VPC predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil para un actor de amenazas comprometer un VPC mediante este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el VPC.  
El CSPM de Security Hub recomienda que trate un resultado de alta gravedad como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

**Medio: el tema debe abordarse como una prioridad a medio plazo.**  
Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.  
El CSPM de Security Hub recomienda que investigue el recurso implicado tan pronto como le sea posible. También debe tener en cuenta la criticidad del recurso.

**Bajo: el problema no requiere acción por sí solo.**  
Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.  
No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

**Informativo: no se encontró ningún punto débil en la configuración.**  
En otras palabras, el estado es `PASSED`, `WARNING` o `NOT AVAILABLE`.  
No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.

# Evaluación del estado de cumplimiento y del estado del control
<a name="controls-overall-status"></a>

El `Compliance.Status` campo del formato de comprobación de AWS seguridad describe el resultado de una comprobación de control. AWS Security Hub CSPM utiliza el estado de conformidad de los hallazgos de control para determinar un estado de control general. El estado del control se muestra en la página de detalles de un control en la consola del CSPM de Security Hub.

## Evaluación del estado de cumplimiento de los resultados del CSPM de Security Hub
<a name="controls-overall-status-compliance-status"></a>

El estado de conformidad para cada resultado se asigna uno de los siguientes valores:
+ `PASSED`: indica que el control superó la comprobación de seguridad correspondiente al resultado. Esto establece de forma automática el `Workflow.Status` del CSPM de Security Hub en `RESOLVED`.
+ `FAILED`: indica que el control no superó la comprobación de seguridad correspondiente al resultado.
+ `WARNING`: indica que el CSPM de Security Hub no puede determinar si el recurso se encuentra en un estado `PASSED` o `FAILED`. Por ejemplo, si el [registro de recursos de AWS Config](securityhub-setup-prereqs.md#config-resource-recording) no se encuentra activado para el tipo de recurso correspondiente.
+ `NOT_AVAILABLE`— Indica que la comprobación no se puede completar porque se ha producido un error en el servidor, se ha eliminado el recurso o se ha producido el resultado de la AWS Config evaluación. `NOT_APPLICABLE` Si el resultado AWS Config de la evaluación fue`NOT_APPLICABLE`, Security Hub CSPM archiva automáticamente el hallazgo.

Si el estado de cumplimiento de un resultado cambia de `PASSED` a `FAILED`, `WARNING` o `NOT_AVAILABLE`, y `Workflow.Status` era `NOTIFIED` o `RESOLVED`, el CSPM de Security Hub cambia de forma automática `Workflow.Status` a `NEW`.

Si no cuenta con recursos correspondientes a un control, el CSPM de Security Hub genera un resultado `PASSED` a nivel de la cuenta. Si cuenta con un recurso correspondiente a un control y luego elimina ese recurso, el CSPM de Security Hub crea un resultado `NOT_AVAILABLE` y lo archiva de inmediato. Después de 18 horas, recibe un resultado `PASSED` porque ya no cuenta con recursos correspondientes al control.

## Obtención del estado de control a partir del estado de conformidad
<a name="controls-overall-status-values"></a>

El CSPM de Security Hub deriva un estado general del control a partir del estado de cumplimiento de los resultados del control. Al determinar el estado del control, el CSPM de Security Hub ignora los resultados con `RecordState` de `ARCHIVED`, y los resultados con `Workflow.Status` de `SUPPRESSED`.

El estado de control tiene asignado uno de los siguientes valores:
+ **Aprobado**: indica que todos los resultados tienen un estado de conformidad como `PASSED`.
+ **Con fallos**: indica que al menos un resultado tiene un estado de conformidad como `FAILED`.
+ **Desconocido**: indica que al menos un resultado tiene un estado de conformidad como `WARNING` o `NOT_AVAILABLE`. Ningún resultado tiene un estado de conformidad como `FAILED`.
+ **Sin datos**: indica que no hay ningún resultado para el control. Por ejemplo, un control recién habilitado presenta este estado hasta que el CSPM de Security Hub empieza a generar resultados para dicho control. Un control también presenta este estado si todos sus resultados son `SUPPRESSED` o si no se encuentra disponible en la Región de AWS actual.
+ **Desactivado**: indica que el control está desactivado en la cuenta actual y en la región. No se están realizando controles de seguridad para este control en la cuenta y la región actuales. Sin embargo, los resultados de un control desactivado pueden tener un valor para el estado de conformidad hasta 24 horas después de la desactivación.

Para una cuenta de administrador, el estado del control refleja su estado para la cuenta de administrador y para las cuentas de miembro. En concreto, el estado general de un control aparece como **Con fallos** si el control tiene uno o más resultados fallidos en la cuenta del administrador o en cualquiera de las cuentas de los miembros. Si estableció una región de agregación, el estado de control de la región de agregación refleja el estado de control de dicha región y las regiones vinculadas. En concreto, el estado general de un control aparece como **Con fallos** si el control tiene uno o más resultados fallidos en la región de agregación o en cualquiera de las regiones vinculadas.

El CSPM de Security Hub normalmente genera el estado inicial del control dentro de los 30 minutos posteriores a su primera visita a la página **Resumen** o a la página de **Estándares de seguridad** en la consola del CSPM de Security Hub. El [registro de recursos de AWS Config](controls-config-resources.md) debe estar configurado para que aparezca el estado de control. Una vez generados los estados de control por primera vez, el CSPM de Security Hub los actualiza cada 24 horas con base en los resultados del periodo anterior. Una marca de tiempo en la página de detalles de control indica cuándo se actualizó por última vez el estado de control.

**nota**  
Después de habilitar un control por primera vez, el proceso puede tardar hasta 24 horas para que se generen los estados de control en las regiones de China y en la AWS GovCloud (US) Region.

# Calcular las puntuaciones de seguridad
<a name="standards-security-score"></a>

En la consola CSPM de AWS Security Hub, las páginas **Resumen** y **Controles** muestran un resumen de la puntuación de seguridad de todos los estándares habilitados. En la página **Estándares de seguridad**, el CSPM de Security Hub también muestra una puntuación de seguridad entre 0 y 100 por ciento para cada estándar habilitado.

Cuando habilita por primera vez el CSPM de Security Hub, este calcula la puntuación de seguridad resumida y las puntuaciones de seguridad por estándar dentro de los primeros 30 minutos después de su visita inicial a la página **Resumen** o a la página **Estándares de seguridad** en la consola. Las puntuaciones se generan únicamente para los estándares que están habilitados cuando visita esas páginas en la consola. Además, debe configurar el registro de recursos de AWS Config para que aparezcan las puntuaciones La puntuación de seguridad resumida es el promedio de las puntuaciones de seguridad estándar. Para revisar una lista de estándares que están habilitados actualmente, puede utilizar el [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)funcionamiento de la API CSPM de Security Hub. 

Tras la primera generación de puntuaciones, el CSPM de Security Hub actualiza las puntuaciones de seguridad cada 24 horas. El CSPM de Security Hub muestra una marca de tiempo que indica cuándo se actualizó por última vez la puntuación de seguridad. Tenga en cuenta que la generación inicial de puntuaciones de seguridad puede tardar hasta 24 horas en las regiones de China y en AWS GovCloud (US) Regions.

Si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings), es posible que las puntuaciones de seguridad tarden hasta 24 horas en actualizarse. Además, al habilitar una nueva región de agregación o actualizar las regiones vinculadas, se restablecen las puntuaciones de seguridad existentes. El CSPM de Security Hub puede tardar hasta 24 horas en generar nuevas puntuaciones de seguridad que incluyan los datos de las regiones actualizadas.

## Método de cálculo de las puntuaciones de seguridad
<a name="standard-security-score-calculation"></a>

La puntuación de seguridad representa la proporción de controles **superados** frente a los controles habilitados. La puntuación se muestra como un porcentaje redondeado hacia arriba o hacia abajo hasta el número entero más cercano.

El CSPM de Security Hub calcula una puntuación de seguridad resumida que abarca todos los estándares que tiene habilitados. El CSPM de Security Hub también calcula una puntuación de seguridad para cada estándar habilitado. Para calcular la puntuación, los controles habilitados incluyen los controles con los estados **Aprobado**, **Con fallos** y **Desconocido**. Los controles cuyo estado es **Sin datos** se excluyen del cálculo de la puntuación.

El CSPM de Security Hub omite los resultados archivados y suprimidos al calcular el estado de los controles. Esto puede afectar a las puntuaciones de seguridad. Por ejemplo, si suprime todos los resultados fallidos de un control, su estado pasa a ser **Aprobado**, lo que a su vez puede mejorar sus puntuaciones de seguridad. Para obtener más información sobre el estado de control, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).

**Ejemplo de puntuación:**


| Standard | Controles superados | Controles con errores | Controles desconocidos | Puntuación estándar | 
| --- | --- | --- | --- | --- | 
|  AWS Prácticas recomendadas de seguridad fundamentales (versión 1.0.0)  |  168  |  22  |  0  |  88%  | 
|  Referencia sobre los AWS fundamentos de la CEI, versión 1.4.0  |  8  |  29  |  0  |  22%  | 
|  Índice de referencia sobre AWS los fundamentos de la CEI v1.2.0  |  6  |  35  |  0  |  15%  | 
|  Publicación especial 800-53 del NIST, revisión 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

Al calcular la puntuación de seguridad resumida, el CSPM de Security Hub contabiliza cada control una sola vez, incluso si pertenece a varios estándares. Por ejemplo, si ha habilitado un control que se aplica a tres estándares habilitados, solo cuenta como un control habilitado a efectos de puntuación.

En este ejemplo, aunque el número total de controles habilitados en todos los estándares es 528, el CSPM de Security Hub cuenta cada control único solo una vez para fines de puntuación. Es probable que el número de controles habilitados únicos sea inferior a 528. Si suponemos que el número de controles habilitados únicos es 515 y el número de controles únicos aprobados es 357, la puntuación resumida es del 69 %. Esta puntuación se calcula dividiendo el número de controles únicos aprobados entre el número de controles únicos habilitados.

Puede obtener una puntuación resumida distinta de la puntuación estándar, incluso si solo habilitó un estándar en su cuenta dentro de la región actual. Esto puede suceder si inició sesión con una cuenta de administrador y las cuentas de miembro tienen estándares adicionales o estándares diferentes habilitados. Esto también puede suceder si consulta la puntuación desde la región de agregación y existen estándares adicionales o distintos habilitados en regiones vinculadas.

## Puntuaciones de seguridad para las cuentas de administrador
<a name="standard-security-score-admin"></a>

Si ha iniciado sesión en una cuenta de administrador, la puntuación de seguridad resumida y la puntuación estándar representan los estados de control de la cuenta de administrador y de todas las cuentas de los miembros.

Si el estado de un control es **Con fallos** incluso en la cuenta de un miembro, su estado es **Con fallos** en la cuenta de administrador y afecta a las puntuaciones de la cuenta de administrador.

Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros *y* de todas las regiones vinculadas.

## Puntuaciones de seguridad si ha establecido una región de agregación
<a name="standard-security-aggregation-region"></a>

Si ha establecido una agregación Región de AWS, la puntuación de seguridad resumida y las puntuaciones estándar representan todos los estados de control regiones vinculadas.

Si el estado de un control es **Con fallos** incluso en una región vinculada, su estado es **Con fallos** en la región de agregación y afecta a las puntuaciones de la región de agregación.

Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una Región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros *y* de todas las regiones vinculadas.

# Categorías de controles en el CSPM de Security Hub
<a name="control-categories"></a>

A cada control se le asigna una categoría. La categoría de un control refleja la función de seguridad a la que se aplica el control.

El valor de la categoría contiene la categoría, la subcategoría dentro de la categoría y, opcionalmente, un clasificador dentro de la subcategoría. Por ejemplo:
+ Identificación > Inventario
+ Proteger > Protección de datos > Cifrado de datos en tránsito

Estas son las descripciones de las categorías, subcategorías y clasificadores disponibles.

## Identificar
<a name="control-category-identify"></a>

Desarrollar la comprensión organizativa para administrar el riesgo de ciberseguridad para sistemas, activos, datos y capacidades.

**Inventario **  
¿Ha implementado el servicio las estrategias correctas de etiquetado de recursos? ¿Las estrategias de etiquetado incluyen al propietario del recurso?  
¿Qué recursos utiliza el servicio? ¿Son recursos aprobados para este servicio?  
¿Tiene visibilidad del inventario aprobado? Por ejemplo, ¿utiliza servicios como Amazon EC2 Systems Manager y Service Catalog? 

**Registro**  
¿Ha habilitado de forma segura todos los registros relevantes para el servicio? Los ejemplos de archivos de registros incluyen los siguientes:  
+ Registros de flujo de Amazon VPC
+ Registros de acceso de Elastic Load Balancing
+  CloudFront Registros de Amazon
+ Amazon CloudWatch Logs
+ Registro de Amazon Relational Database Service
+ Registros de indexación lentos de Amazon OpenSearch Service
+ Rastreo de X-Ray
+ AWS Directory Service registros
+ AWS Config artículos
+ Snapshots

## Protección
<a name="control-category-protect"></a>

Desarrollar y aplicar las protecciones adecuadas para garantizar la prestación de servicios de infraestructura críticos y prácticas de codificación seguras.

**Gestión segura del acceso**  
¿Utiliza el servicio las prácticas de menos privilegios en sus políticas de IAM o de recursos?  
¿Las contraseñas y los secretos son lo suficientemente complejos? ¿Se rotan apropiadamente?  
¿Utiliza el servicio la autenticación multifactor (MFA)?  
¿El servicio evita el usuario raíz?  
¿Las políticas basadas en recursos permiten el acceso público?

**Configuración de red segura**  
¿El servicio evita el acceso público y no seguro a la red remota?  
¿El servicio se utiliza VPCs correctamente? Por ejemplo, ¿se requiere que los trabajos se ejecuten VPCs?  
¿El servicio segmenta y aísla adecuadamente los recursos confidenciales? 

**Protección de datos**  
Cifrado de datos en reposo: ¿el servicio cifra los datos en reposo?  
Cifrado de datos en tránsito: ¿el servicio cifra los datos en tránsito?  
Integridad de los datos: ¿el servicio valida la integridad de los datos?  
Protección contra la eliminación de datos: ¿protege el servicio los datos contra la eliminación accidental?  
Administración/Uso de datos: ¿Utiliza servicios como Amazon Macie para rastrear la ubicación de sus datos confidenciales?

**Protección de API**  
¿El servicio se utiliza AWS PrivateLink para proteger las operaciones de la API del servicio?

**Servicios de protección**  
¿Los servicios de protección adecuados están bien ubicados? ¿Proporcionan la cantidad correcta de cobertura?  
Los servicios de protección le ayudan a desviar los ataques y compromisos dirigidos al servicio. Algunos ejemplos de servicios de protección AWS incluyen AWS Control Tower, AWS WAF AWS Shield Advanced, Vanta, Secrets Manager, IAM Access Analyzer y. AWS Resource Access Manager

**Desarrollo seguro**  
¿Utiliza prácticas de codificación seguras?  
¿Evita vulnerabilidades como el Top Ten de Open Web Application Security Project (OWASP)?

## Detect
<a name="control-category-detect"></a>

Desarrolle e implemente las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad.

**Servicios de detección**  
¿Existen los servicios de detección correctos?  
¿Proporcionan la cantidad correcta de cobertura?  
Algunos ejemplos de servicios de AWS detección incluyen Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective AWS IoT Device Defender, Amazon CloudWatch Alarms y. AWS Trusted Advisor

## Respuesta
<a name="control-category-respond"></a>

Desarrolle e implemente las actividades apropiadas para tomar medidas relacionadas con la detección de un evento de ciberseguridad.

**Acciones de respuesta**  
¿Responde rápidamente a los eventos de seguridad?  
¿Tiene hallazgos críticos o de alta gravedad activos?

**Forenses**  
¿Puede adquirir datos forenses de forma segura para el servicio? Por ejemplo, ¿adquiere instantáneas de Amazon EBS asociadas con verdaderos resultados positivos?  
¿Has creado una cuenta forense?

## Recuperar
<a name="control-category-recover"></a>

Desarrolle e implemente las actividades apropiadas para mantener planes de resiliencia y restaurar cualquier capacidad o servicio que se haya visto afectado debido a un evento de ciberseguridad.

**Resiliencia**  
¿La configuración del servicio admite conmutaciones por error elegantes, escalado elástico y alta disponibilidad?  
¿Has establecido copias de seguridad? 

# Cómo revisar los detalles de los controles en el CSPM de Security Hub
<a name="securityhub-standards-control-details"></a>

Al seleccionar un control en la página **Controles** o en la página de detalles estándar de la consola de CSPM de Security Hub, accederá a la página de detalles del control.

En la parte superior de la página de detalles del control se indica el estado de control. El estado de control resume el rendimiento de un control en función del estado de conformidad de los resultados del control. Por lo general, el CSPM de Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página **Resumen** o a la página **Estándares de seguridad** de la consola del CSPM de Security Hub. Los estados solo están disponibles para los controles que están habilitados al visitar esas páginas.

La página de detalles del control también muestra un desglose del estado de cumplimiento de los resultados del control durante las últimas 24 horas. Para obtener más información sobre el estado de control y el estado de conformidad, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).

AWS Config el registro de recursos debe estar configurado para que aparezca el estado del control. Una vez que se generan por primera vez los estados de control, el CSPM de Security Hub los actualiza cada 24 horas según los resultados de las 24 horas anteriores.

Las cuentas de administrador ven un estado de control agregado en la cuenta de administrador y en las cuentas de los miembros. Si ha establecido una región de agregación, el estado de control incluye los resultados de todas las regiones vinculadas. Para obtener más información sobre el estado de control, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).

También puede activar o desactivar el control desde la página de detalles de control.

**nota**  
Una vez activado un control, pueden pasar hasta 24 horas hasta que se generen los estados de control por primera vez en las regiones de China y de AWS GovCloud (US) Regions.

La pestaña **Estándares y requisitos** enumera los estándares para los que se puede habilitar un control y los requisitos relacionados con el control desde diferentes marcos de cumplimiento.

La pestaña **Comprobaciones** muestra los resultados activos del control correspondientes a las últimas 24 horas. Los resultados del control se generan y se actualizan cuando el CSPM de Security Hub ejecuta las comprobaciones de seguridad del control. La lista que aparece en esta pestaña no incluye los resultados archivados.

Para cada resultado, la lista proporciona acceso a los detalles del resultado, como el estado de cumplimiento y el recurso relacionado. También puede configurar el estado del flujo de trabajo de cada resultado y enviar los resultados a acciones personalizadas. Para obtener más información, consulte [Revisión y administración de resultados de controles](securityhub-control-manage-findings.md).

## Visualización de detalles de un control
<a name="view-control-details-console"></a>

Elija su método de acceso preferido y siga estos pasos para revisar los detalles de un control. Los detalles se aplican a la cuenta corriente y a la región e incluyen lo siguiente:
+ El título y la descripción del control.
+ Un enlace a la guía de remediación para los resultados de control con errores.
+ La gravedad del control.
+ Estado del control.

En la consola también puede revisar una lista de resultados recientes del control. Para hacerlo mediante programación, puede usar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) de la API del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Control**.

1. Seleccione un control.

------
#### [ Security Hub CSPM API ]

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` y proporcione uno o más estándares ARNs para obtener una lista de controles IDs para ese estándar. Para obtener el estándar ARNs, ejecute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Si no proporciona un ARN estándar, esta API devuelve todo el control CSPM de Security Hub. IDs Esta API devuelve un control de seguridad independiente de los estándares IDs, no el control IDs basado en estándares que existía antes de la publicación de estas funciones.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` para obtener detalles sobre uno o más controles de la versión actual y. Cuenta de AWS Región de AWS

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. Ejecute el `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando y proporcione uno o más estándares ARNs para obtener una lista de controles IDs. Para obtener el estándar ARNs, ejecute el `describe-standards` comando. Si no proporciona un ARN estándar, este comando devuelve todo el control CSPM de Security Hub. IDs Este comando devuelve un control de seguridad independiente de los estándares IDs, no el control IDs basado en estándares que existía antes de las versiones de estas funciones.

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` para obtener detalles sobre uno o más controles de en las Región de AWS y Cuenta de AWS actuales.

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Filtrado y ordenación de controles en el CSPM de Security Hub
<a name="controls-filter-sort"></a>

En la consola CSPM de AWS Security Hub, puede utilizar la página **Controles** para revisar una tabla de los controles que están disponibles en la versión actual. Región de AWS La excepción es una región de agregación. Si [configuró una región de agregació](finding-aggregation.md) e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.

Para enfocarse en un subconjunto específico de controles, puede ordenar y filtrar la tabla de controles. Las opciones **Filtrar por** junto a la tabla pueden ayudarle a enfocarse rápidamente en estos subconjuntos específicos:
+ Todos los controles habilitados, que son controles habilitados en al menos un estándar habilitado.
+ Todos los controles desactivados, que son controles desactivados en todos los estándares.
+ Todos los controles habilitados que tienen un estado de control específico, como **Fallido**. La opción **Sin datos** muestra únicamente los controles que no tienen resultados en este momento. Para obtener información sobre el estado del control, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).

Además de las opciones **Filtrar por**, puede filtrar la tabla. Para ello, ingrese los criterios de filtro en el cuadro **Filtrar controles** que está sobre la tabla. Por ejemplo, puede filtrar por ID de control o gravedad.

De forma predeterminada, los controles con un estado **Fallido** aparecen primero, en orden descendente según la gravedad. Para cambiar el orden, elija un encabezado de columna diferente.

**sugerencia**  
Si tiene flujos de trabajo automatizados basados en los resultados del control, recomendamos usar `SecurityControlId` o `SecurityControlArn`, que son [campos ASFF](securityhub-findings-format.md), como filtros, en lugar de usar los campos `Title` o `Description`. Estos últimos campos pueden cambiar ocasionalmente, mientras que el ID del control y el ARN son identificadores estáticos.

Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, los controles **Habilitados** incluyen aquellos que están habilitados en al menos una cuenta de miembro. Si configuró una región de agregación, los controles **Habilitados** incluyen aquellos que están habilitados en al menos una región vinculada.

Si selecciona la opción junto a un control habilitado, se abre un panel que muestra los estándares en los que dicho control permanece habilitado en este momento. También puede ver los estándares en los que el control está actualmente desactivado. Desde este panel, puede desactivar un control en todos los estándares. Para obtener más información, consulte [Desactivación de controles en el CSPM de Security Hub](disable-controls-overview.md). En las cuentas de administrador, la información del panel refleja la configuración de todas las cuentas de miembro.

Para recuperar una lista de controles mediante programación, puede usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) de la API del CSPM de Security Hub. Para recuperar los detalles de controles individuales, puede usar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html).

# Comprensión de los parámetros de control en el CSPM de Security Hub
<a name="custom-control-parameters"></a>

Algunos controles de AWS Security Hub CSPM utilizan parámetros que afectan a la forma en que se evalúa el control. Por lo general, dichos controles se evalúan con los valores predeterminados de parámetros que define el CSPM de Security Hub. Sin embargo, para un subconjunto de estos controles, puede modificar los valores de los parámetros. Cuando modifica el valor de un parámetro de control, el CSPM de Security Hub evalúa el control con el valor que especifique. Si el recurso que subyace el control cumple el valor personalizado, el CSPM de Security Hub genera un resultado `PASSED`. Si el recurso no cumple el valor personalizado, el CSPM de Security Hub genera un resultado `FAILED`.

Al personalizar los parámetros de control, puede ajustar las prácticas recomendadas de seguridad que supervisa y recomienda el CSPM de Security Hub para alinearlas con los requisitos empresariales y expectativas de seguridad. En lugar de suprimir los resultados de un control, puede personalizar uno o varios de sus parámetros para obtener los resultados que se adapten a sus necesidades de seguridad.

Estos son algunos ejemplos de casos de uso para modificar los parámetros de control y establecer valores personalizados:
+ **[CloudWatch.16]: los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico**

  Puede especificar el periodo de retención.
+ **[IAM.7]: las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras**

  Puede especificar parámetros relacionados con la seguridad de la contraseña.
+ **[EC2.18] — Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados**

  Puede especificar qué puertos están autorizados para permitir el tráfico entrante sin restricciones.
+ **[Lambda.5]: las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad**

  Puede especificar el número mínimo de zonas de disponibilidad que generará un resultado válido.

En esta sección, se describen los aspectos que se deben tener en cuenta al modificar los parámetros de control.

## Efecto de la modificación de los valores de parámetros de control
<a name="custom-control-parameters-overview"></a>

Al cambiar el valor de un parámetro, también se desencadena un nuevo control de seguridad que evalúa el control en función del nuevo valor. El CSPM de Security Hub genera entonces nuevos resultados del control con base en el nuevo valor. Durante las actualizaciones periódicas de los resultados del control, el CSPM de Security Hub también usa el nuevo valor del parámetro. Si modifica los valores de un parámetro de control pero no habilita ningún estándar que incluya ese control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad con los nuevos valores. Debe habilitar al menos un estándar pertinente para que el CSPM de Security Hub evalúe el control con base en el nuevo valor del parámetro.

Un control puede tener uno o varios parámetros personalizables. Entre los tipos de datos posibles para cada parámetro de control se encuentran los siguientes:
+ Booleano
+ Double
+ Enum
+ EnumList
+ Entero
+ IntegerList
+ Cadena
+ StringList

Los valores personalizados de los parámetros se aplican a los estándares habilitados. No puede personalizar los parámetros de un control que no sea compatible en su región actual. Para obtener una lista de los límites regionales para los controles individuales, consulte [Límites regionales de los controles del CSPM de Security Hub](regions-controls.md).

En algunos controles, los valores de los parámetros aceptables deben estar dentro de un rango especificado para ser válidos. En estos casos, el CSPM de Security Hub proporciona el intervalo aceptable.

El CSPM de Security Hub selecciona los valores predeterminados de los parámetros y en ocasiones puede actualizarlos. Después de personalizar un parámetro de control, su valor sigue siendo el valor que especificó para el parámetro, a menos que lo cambie. Es decir, el parámetro deja de adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub, incluso si el valor personalizado coincide con el valor predeterminado vigente definido por el CSPM de Security Hub. Este es un ejemplo del control **[ACM.1]: los certificados importados y emitidos por ACM deben renovarse después de un periodo de tiempo específico**:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

En el ejemplo anterior, el parámetro `daysToExpiration` tiene un valor personalizado de `30`. El valor predeterminado actual para este parámetro también es `30`. Si el CSPM de Security Hub cambia el valor predeterminado a `14`, el parámetro de este ejemplo no adopta ese cambio. Retendrá un valor de `30`.

Si desea adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub para un parámetro, establezca el campo `ValueType` en `DEFAULT`, en lugar de `CUSTOM`. Para obtener más información, consulte [Reversión a los parámetros de control predeterminados en una sola cuenta y región](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controles que admiten parámetros personalizados
<a name="controls-list-custom-parameters"></a>

Para obtener una lista de los controles de seguridad que admiten parámetros personalizados, consulte la página **Controls** de la consola del CSPM de Security Hub o la [Referencia de controles para el CSPM de Security Hub](securityhub-controls-reference.md). Para recuperar esta lista mediante programación, puede utilizar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html). En la respuesta, el objeto `CustomizableProperties` indica qué controles admiten parámetros personalizables.

# Revisión de los valores actuales de los parámetros de control
<a name="view-control-parameters"></a>

Puede resultar útil conocer el valor actual de un parámetro de control antes de modificarlo.

Puede revisar los valores actuales de los parámetros de control individuales de su cuenta. Si utiliza la configuración central, el administrador de CSPM de AWS Security Hub delegado también puede revisar los valores de los parámetros que se especifican en una política de configuración.

Elija el método que prefiera y siga los pasos para revisar los valores actuales de los parámetros de control.

------
#### [ Security Hub CSPM console ]

**Para revisar los valores actuales de los parámetros de control (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. Elija un control.

1. Elija la pestaña **Parámetros**. Esta pestaña muestra los valores actuales de los parámetros del control.

------
#### [ Security Hub CSPM API ]

**Para revisar los valores actuales de los parámetros de control (API)**

Invoque la [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API y proporcione uno o más controles de seguridad o. IDs ARNs El objeto `Parameters` de la respuesta muestra los valores actuales de los parámetros de los controles especificados.

Por ejemplo, el siguiente AWS CLI comando muestra los valores de los parámetros actuales para `APIGatway.1``CloudWatch.15`, y`IAM.7`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Elija el método que prefiera para ver los valores actuales de los parámetros en una política de configuración centralizada.

------
#### [ Security Hub CSPM console ]

**Para revisar los valores actuales de los parámetros de control en una política de configuración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la pestaña **Políticas**, seleccione la política de configuración y, a continuación, elija **Ver detalles**. A continuación, aparecen los detalles de la política, incluidos los valores actuales de los parámetros.

------
#### [ Security Hub CSPM API ]

**Para revisar los valores actuales de los parámetros de control en una política de configuración (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. Proporcione el ARN o el ID de la política de configuración cuyos detalles quiere ver. La respuesta incluye los valores actuales de los parámetros.

Por ejemplo, el siguiente AWS CLI comando recupera los valores de los parámetros de control actuales en la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

Los resultados de control también incluyen los valores actuales de los parámetros de control. En la [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md), estos valores aparecen en el campo `Parameters` del objeto `Compliance`. Para revisar los resultados en la consola del CSPM de Security Hub, elija **Resultados** en el panel de navegación. Para revisar los resultados mediante programación, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) de la API del CSPM de Security Hub.

# Personalización de los valores de los parámetros de control
<a name="customize-control-parameters"></a>

Las instrucciones para personalizar los parámetros de control varían en función de si se utiliza la [configuración central](central-configuration-intro.md) en AWS Security Hub CSPM. La configuración central es una función que el administrador de CSPM del Security Hub delegado puede utilizar para configurar las capacidades de CSPM del Security Hub en todas las cuentas y unidades Regiones de AWS organizativas (). OUs

Si su organización utiliza la configuración central, el administrador delegado puede crear políticas de configuración que incluyan parámetros de control personalizados. Estas políticas se pueden asociar a las cuentas de los miembros administradas de forma centralizada y entran OUs en vigor en su región de origen y en todas las regiones vinculadas. El administrador delegado también puede designar una o varias cuentas como autoadministradas, lo que permite al propietario de la cuenta configurar sus propios parámetros por separado en cada región. Si su organización no utiliza la configuración centralizada, debe personalizar los parámetros de control por separado en cada cuenta y región.

Recomendamos utilizar la configuración centralizada porque permite alinear los valores de los parámetros de control en las distintas partes de la organización. Por ejemplo, todas sus cuentas de prueba podrían usar determinados valores de parámetros y todas las cuentas de producción podrían utilizar valores diferentes.

## Personalización de parámetros de control en varias cuentas y regiones
<a name="customize-control-parameters-central-config"></a>

Si es el administrador delegado del CSPM de Security Hub para una organización que usa la configuración centralizada, seleccione el método de su preferencia y siga los pasos para personalizar los parámetros de control en varias cuentas y regiones.

------
#### [ Security Hub CSPM console ]

**Para personalizar los valores de un parámetro de control en varias cuentas y regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Asegúrese de que haya iniciado sesión en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Para crear una nueva política de configuración que incluya parámetros personalizados, elija **Crear política**. Para especificar los parámetros personalizados en una política de configuración existente, seleccione la política y, luego, elija **Editar**.

   **Para crear una política de configuración nueva con valores de parámetros de control personalizados**

   1. En la sección **Política personalizada**, elija los estándares y controles de seguridad que quiere habilitar.

   1. Seleccione **Personalizar los parámetros de control**.

   1. Seleccione un control y, a continuación, especifique valores personalizados para uno o varios parámetros.

   1. Para personalizar los parámetros de más controles, elija **Personalizar un control adicional**.

   1. En la sección **Cuentas**, seleccione las cuentas a las que desee aplicar la política o las cuentas a las OUs que desee aplicar la política.

   1. Elija **Siguiente**.

   1. Elija **Crear y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

   **Para personalizar los valores de un parámetro de control en una política de configuración existente**

   1. En la sección **Controles**, en **Política personalizada**, especifique los nuevos valores personalizados de parámetros que quiera.

   1. Si es la primera vez que personaliza los parámetros de control en esta política, seleccione **Personalizar los parámetros de control** y, a continuación, seleccione el control que quiere personalizar. Para personalizar los parámetros de más controles, elija **Personalizar un control adicional**.

   1. En la sección **Cuentas**, verifica las cuentas a las OUs que deseas aplicar la política o las cuentas a las que deseas aplicar la política.

   1. Elija **Siguiente**.

   1. Revise los cambios y compruebe que sean correctos. Cuando termine, elija **Guardar y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

------
#### [ Security Hub CSPM API ]

**Para personalizar los valores de un parámetro de control en varias cuentas y regiones (API)**

**Para crear una política de configuración nueva con valores de parámetros de control personalizados**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. El campo `Value` no puede estar vacío cuando el valor de `ValueType` es `CUSTOM`. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

**Para personalizar los valores de un parámetro de control en una política de configuración existente**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. En el campo `Identifier`, indique el nombre de recurso de Amazon (ARN) o el identificador de la política de configuración que quiera actualizar.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

Por ejemplo, el siguiente AWS CLI comando crea una nueva política de configuración con un valor personalizado para el `daysToExpiration` parámetro de`ACM.1`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalización de parámetros de control en una sola cuenta y región
<a name="customize-control-parameters-local-config"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, puede personalizar los parámetros de control de su cuenta en una región a la vez.

Elija el método que prefiera y siga los pasos para personalizar los parámetros de control. Los cambios se aplican solo a su cuenta en la región actual. Para personalizar los parámetros de control en otras regiones, repita los siguientes pasos en cada cuenta o región adicional en la que quiere personalizar los parámetros. El mismo control puede utilizar valores de parámetros diferentes en regiones distintas.

------
#### [ Security Hub CSPM console ]

**Para personalizar los valores de un parámetro de control en una cuenta y región (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. En la tabla, elija un control que admita parámetros personalizados y cuyos parámetros quiere cambiar. La columna **Parámetros personalizados** indica qué controles los admiten.

1. En la página de detalles del control, seleccione la pestaña **Parámetros** y, a continuación, elija **Editar**.

1. Especifique los valores de los parámetros que quiere cambiar.

1. De manera opcional, en la sección **Motivo del cambio**, seleccione un motivo para personalizar los parámetros.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

**Para personalizar los valores de un parámetro de control en una cuenta y región (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. En `SecurityControlId`, indique el identificador del control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

1. De manera opcional, en `LastUpdateReason`, indique un motivo para personalizar los parámetros de control.

Por ejemplo, el siguiente AWS CLI comando define un valor personalizado para el `daysToExpiration` parámetro de. `ACM.1` Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Reversión de los valores predeterminados de los parámetros de control
<a name="revert-default-parameter-values"></a>

Un parámetro de control puede tener un valor predeterminado que defina AWS Security Hub CSPM. En ocasiones, el CSPM de Security Hub actualiza el valor predeterminado de un parámetro para alinearlo con la evolución de las prácticas recomendadas de seguridad. Si no ha especificado un valor personalizado para un parámetro de control, el control hace un seguimiento automático de esas actualizaciones y utiliza el nuevo valor predeterminado.

Puede volver a utilizar los valores predeterminados del parámetro para un control. Las instrucciones para revertir parámetros dependen de si usa la [configuración centralizada](central-configuration-intro.md) en el CSPM de Security Hub. La configuración central es una función que el administrador de CSPM del Security Hub delegado puede utilizar para configurar las capacidades de CSPM del Security Hub en todas las cuentas y unidades Regiones de AWS organizativas (). OUs

**nota**  
No todos los parámetros de control tienen un valor predeterminado del CSPM de Security Hub. En esos casos, cuando `ValueType` se establece en `DEFAULT`, no existe un valor predeterminado específico que utilice el CSPM de Security Hub. En su lugar, el CSPM de Security Hub omite el parámetro si no hay un valor personalizado.

## Reversión a los parámetros de control predeterminados en varias cuentas y regiones
<a name="revert-default-parameter-values-central-config"></a>

Si utiliza la configuración central, puede revertir los parámetros de control de varias cuentas administradas de forma centralizada y de la región de origen y OUs las regiones vinculadas.

Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros en varias cuentas y regiones mediante la configuración centralizada.

------
#### [ Security Hub CSPM console ]

**Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Seleccione una política y, a continuación, elija **Editar**. 

1. En **Política personalizada**, la sección **Controles** muestra una lista de controles para los que especificó parámetros personalizados.

1. Busque el control que tenga uno o varios valores de parámetros que revertir. A continuación, elija **Eliminar** para revertir a los valores predeterminados.

1. En la sección **Cuentas**, compruebe las cuentas o a las OUs que desea aplicar la política.

1. Elija **Siguiente**.

1. Revise los cambios y compruebe que sean correctos. Cuando termine, elija **Guardar y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

------
#### [ Security Hub CSPM API ]

**Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (API)**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. En el campo `Identifier`, indique el nombre de recurso de Amazon (ARN) o el identificador de la política que quiere actualizar.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control para revertir uno o varios parámetros.

1. En el objeto `Parameters`, para cada parámetro que quiere revertir, indique `DEFAULT` en el campo `ValueType`. Si `ValueType` está establecido en `DEFAULT`, no es necesario proporcionar un valor para el campo `Value`. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual.

**aviso**  
Si omite un objeto de control del campo `SecurityControlCustomParameters`, el CSPM de Security Hub revierte todos los parámetros personalizados del control a sus valores predeterminados. Una lista completamente vacía para `SecurityControlCustomParameters` revierte los parámetros personalizados de todos los controles a sus valores predeterminados.

Por ejemplo, el siguiente AWS CLI comando revierte el parámetro de `daysToExpiration` control `ACM.1` a su valor predeterminado en la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Reversión a los parámetros de control predeterminados en una sola cuenta y región
<a name="revert-default-parameter-values-local-config"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, puede revertir al uso de los valores predeterminados de los parámetros para su cuenta en una región a la vez.

Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros para su cuenta en una sola región. Para volver a los valores predeterminados de los parámetros en otras regiones, repita estos pasos en cada región adicional.

**nota**  
Si desactiva el CSPM de Security Hub, se restablecen los parámetros de control personalizados. Si vuelve a habilitar el CSPM de Security Hub en el futuro, todos los controles utilizarán los valores predeterminados de los parámetros para comenzar.

------
#### [ Security Hub CSPM console ]

**Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. Elija el control que quiere revertir a los valores predeterminados de los parámetros.

1. En la pestaña `Parameters`, elija **Personalizado** junto a un parámetro de control. A continuación, seleccione **Eliminar personalización**. Este parámetro ahora usa el valor predeterminado del CSPM de Security Hub y se actualiza automáticamente cuando dicho valor cambie en el futuro.

1. Repita el paso anterior para cada valor de parámetro que quiere revertir.

------
#### [ Security Hub CSPM API ]

**Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. En `SecurityControlId`, indique el ARN o el identificador del control cuyos parámetros quiere revertir.

1. En el objeto `Parameters`, para cada parámetro que quiere revertir, indique `DEFAULT` en el campo `ValueType`. Si `ValueType` está establecido en `DEFAULT`, no es necesario proporcionar un valor para el campo `Value`. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora.

1. De manera opcional, en `LastUpdateReason`, indique un motivo para revertir a los valores predeterminados de los parámetros.

Por ejemplo, el siguiente AWS CLI comando revierte el parámetro de `daysToExpiration` control `ACM.1` a su valor predeterminado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Comprobación del estado de los cambios de los parámetros de control
<a name="parameter-update-status"></a>

Al intentar personalizar un parámetro de control o volver al valor predeterminado, puede validar si los cambios deseados se realizaron correctamente. Esto ayuda a garantizar que un control funcione como se espera y proporcione el valor de seguridad previsto. Si una actualización del parámetro no se completa correctamente, el CSPM de Security Hub retiene el valor actual del parámetro.

Para verificar que la actualización del parámetro se completó correctamente, puede revisar los detalles del control en la consola del CSPM de Security Hub. En el panel de navegación de la consola, elija **Controles**. A continuación, elija un control para mostrar sus detalles. La pestaña **Parámetros** muestra el estado del cambio del parámetro.

Desde el punto de vista programático, si la solicitud de actualización de un parámetro es válida, el valor del campo `UpdateStatus` es `UPDATING` en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html). Esto significa que la actualización era válida, pero es posible que todos los resultados aún no incluyan los valores de los parámetros actualizados. Cuando el valor de `UpdateState` cambia a `READY`, el CSPM de Security Hub usa los valores actualizados del parámetro de control cuando ejecuta las comprobaciones de seguridad del control. Los resultados incluyen los valores de los parámetros actualizados.

La operación `UpdateSecurityControl` devuelve una respuesta `InvalidInputException` para los valores de los parámetros no válidos. La respuesta proporciona detalles adicionales sobre el motivo del error. Por ejemplo, es posible que haya especificado un valor que está fuera del rango válido de un parámetro. O bien, es posible que haya especificado un valor que no utiliza el tipo de datos correcto. Vuelva a enviar la solicitud con una entrada válida.

Si se produce un error interno al intentar actualizar el valor de un parámetro, el CSPM de Security Hub lo volverá a intentar automáticamente si lo ha activado. AWS Config Para obtener más información, consulte [Consideraciones antes de habilitar y configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

# Revisión y administración de resultados de controles en el CSPM de Security Hub
<a name="securityhub-control-manage-findings"></a>

La página de detalles del control muestra una lista de los resultados activos de un control. La lista no incluye resultados archivados.

La página de detalles del control admite la agregación entre regiones. Si ha establecido una región de agregación, el estado del control y la lista de controles de seguridad de la página de detalles del control incluyen las comprobaciones de todas las Regiones de AWS vinculadas.

La lista proporciona herramientas para filtrar y ordenar los resultados, de modo que pueda centrarse primero en los más urgentes. Un resultado puede incluir enlaces a información detallada sobre los recursos en la consola de servicio correspondiente. En el caso de los controles que se basan en AWS Config reglas, puede ver los detalles de la regla.

También puede usar la API CSPM de AWS Security Hub para recuperar una lista de hallazgos y detalles de los hallazgos.

Para obtener más información, consulte [Revisión de los detalles y el historial de resultados](securityhub-findings-viewing.md#finding-view-details-console).

Para reflejar el estado actual de la investigación de un resultado de control, debe configurar el estado del flujo de trabajo. Para obtener más información, consulte [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md).

También puedes enviar los resultados de CSPM seleccionados de Security Hub a una acción personalizada en Amazon. EventBridge Para obtener más información, consulte [Envío de resultados a una acción personalizada del CSPM de Security Hub](findings-custom-action.md).

**Topics**
+ [Filtrado y clasificación de resultados de control](control-finding-list.md)
+ [Ejemplos de resultados de controles](sample-control-findings.md)

# Filtrado y clasificación de resultados de control
<a name="control-finding-list"></a>

Al seleccionar un control en la página de **controles** de la consola CSPM de AWS Security Hub o en la página de detalles de un estándar, se accede a la página de detalles del control.

La página de detalles del control muestra el título y la descripción del control, el estado general del control y un desglose de los controles de seguridad de las últimas 24 horas.

Utilice las opciones **Filtrar por** situadas junto a la lista de controles de seguridad para centrarse rápidamente en los resultados relacionados con un [estado de flujo de trabajo](findings-workflow-status.md) o un [estado de conformidad](controls-overall-status.md#controls-overall-status-compliance-status) específicos.

Además de las opciones **Filtrar por**, puede utilizar la casilla **Agregar filtro** para filtrar la lista de verificación por otros campos, como el Cuenta de AWS identificador o el identificador del recurso.

Los resultados cuyo estado de conformidad es **APROBADO** se enumeran en primer lugar de forma predeterminada. Puede cambiar el orden predeterminado si selecciona una opción diferente en los encabezados de las columnas.

En la página de detalles del control, puede seleccionar **Descargar** para descargar la página actual de resultados de control en un archivo .csv.

Si filtra la lista de resultados, la descarga solo incluirá los controles que coincidan con el filtro. Si selecciona resultados específicos de la lista, la descarga solo incluirá los resultados seleccionados.

Para obtener más información sobre cómo filtrar resultados, consulte [Filtrado de resultados en el CSPM de Security Hub](securityhub-findings-manage.md).

# Ejemplos de resultados de controles
<a name="sample-control-findings"></a>

Los siguientes ejemplos proporcionan ejemplos de los resultados del control CSPM de AWS Security Hub en el formato de búsqueda AWS de seguridad (ASFF). El contenido de los resultados de controles varía según si habilita los resultados consolidados de controles.

Si habilita los resultados consolidados de controles, el CSPM de Security Hub genera un único resultado para un control, incluso cuando el control se aplica a varios estándares habilitados. Si no habilita esta característica, el CSPM de Security Hub genera un resultado separado para cada estándar habilitado al que se aplica el control. Por ejemplo, si habilita dos estándares y un control se aplica a ambos, recibe dos resultados separados para el control, uno por cada estándar. Si habilita los resultados consolidados de controles, recibe un único resultado para el control. Para obtener más información, consulte [Resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

Las muestras de esta página ofrecen ejemplos para ambos casos. Las muestras incluyen resultados de controles para estándares individuales del CSPM de Security Hub cuando los resultados consolidados de controles se encuentran desactivados, y un único resultado de control para varios estándares del CSPM de Security Hub cuando los resultados consolidados de controles se encuentran habilitados.

**Topics**
+ [Ejemplo de hallazgo del estándar de mejores prácticas de AWS seguridad fundamentales](#sample-finding-fsbp)
+ [Ejemplo de hallazgo para CIS AWS Foundations Benchmark v5.0.0](#sample-finding-cis-5)
+ [Ejemplo de hallazgo para CIS AWS Foundations Benchmark v3.0.0](#sample-finding-cis-3)
+ [Ejemplo de hallazgo para CIS AWS Foundations Benchmark v1.4.0](#sample-finding-cis-1.4)
+ [Ejemplo de hallazgo para CIS AWS Foundations Benchmark v1.2.0](#sample-finding-cis-1.2)
+ [Ejemplo de resultado para el estándar NIST SP 800-53 Revisión 5](#sample-finding-nist-800-53)
+ [Ejemplo de resultado para el estándar NIST SP 800-171 Revisión 2](#sample-finding-nist-800-171)
+ [Ejemplo de resultado para el estándar Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) v3.2.1.](#sample-finding-pcidss-v321)
+ [Ejemplo de hallazgo del estándar de etiquetado de AWS recursos](#sample-finding-tagging)
+ [Ejemplo de hallazgo del estándar de gestión de AWS Control Tower servicios](#sample-finding-service-managed-aws-control-tower)
+ [Ejemplo de resultado consolidado para varios estándares](#sample-finding-consolidation)

**nota**  
Los resultados de controles hacen referencia a distintos campos y valores en las regiones de China y en las regiones de AWS GovCloud (US) . Para obtener más información, consulte [Impacto de la consolidación en los campos y valores ASFF](asff-changes-consolidation.md).

## Ejemplo de hallazgo del estándar de mejores prácticas de AWS seguridad fundamentales
<a name="sample-finding-fsbp"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al estándar de Prácticas recomendadas de seguridad básica de AWS (FSBP). En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## Ejemplo de hallazgo para CIS AWS Foundations Benchmark v5.0.0
<a name="sample-finding-cis-5"></a>

El siguiente ejemplo proporciona un ejemplo de la búsqueda de un control que se aplica a CIS AWS Foundations Benchmark v5.0.0. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## Ejemplo de hallazgo para CIS AWS Foundations Benchmark v3.0.0
<a name="sample-finding-cis-3"></a>

El siguiente ejemplo proporciona un ejemplo de la búsqueda de un control que se aplica a CIS AWS Foundations Benchmark v3.0.0. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## Ejemplo de hallazgo para CIS AWS Foundations Benchmark v1.4.0
<a name="sample-finding-cis-1.4"></a>

El siguiente ejemplo proporciona un ejemplo de un hallazgo de un control que se aplica a CIS AWS Foundations Benchmark v1.4.0. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Ejemplo de hallazgo para CIS AWS Foundations Benchmark v1.2.0
<a name="sample-finding-cis-1.2"></a>

El siguiente ejemplo proporciona un ejemplo de la búsqueda de un control que se aplica a CIS AWS Foundations Benchmark v1.2.0. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Ejemplo de resultado para el estándar NIST SP 800-53 Revisión 5
<a name="sample-finding-nist-800-53"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al estándar NIST SP 800-53 Revisión 5. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## Ejemplo de resultado para el estándar NIST SP 800-171 Revisión 2
<a name="sample-finding-nist-800-171"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al estándar NIST SP 800-171 Revisión 2. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Ejemplo de resultado para el estándar Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) v3.2.1.
<a name="sample-finding-pcidss-v321"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) v3.2.1. En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## Ejemplo de hallazgo del estándar de etiquetado de AWS recursos
<a name="sample-finding-tagging"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al estándar Etiquetado de recursos de AWS . En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## Ejemplo de hallazgo del estándar de gestión de AWS Control Tower servicios
<a name="sample-finding-service-managed-aws-control-tower"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica al estándar administrado por el servicio de AWS Control Tower . En esta muestra, los resultados consolidados de controles se encuentran desactivados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## Ejemplo de resultado consolidado para varios estándares
<a name="sample-finding-consolidation"></a>

La siguiente muestra ofrece un ejemplo de un resultado para un control que se aplica a varios estándares habilitados. En esta muestra, los resultados consolidados de controles se encuentran habilitados.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Comprensión de las integraciones en el CSPM de Security Hub
<a name="securityhub-findings-providers"></a>

AWS Security Hub CSPM puede asimilar los hallazgos de seguridad de varias soluciones de seguridad Servicios de AWS de terceros AWS Partner Network compatibles. Estas integraciones pueden ayudarlo a obtener una visión integral de la seguridad y el cumplimiento en todo su entorno. AWS Security Hub CSPM ingiere los resultados de las soluciones integradas y los convierte al AWS Security Finding Format (ASFF).

**importante**  
En el caso de las integraciones de productos compatibles AWS y de terceros, Security Hub CSPM recibe y consolida las conclusiones que se generan solo después de activar Security Hub CSPM para usted. Cuentas de AWS El servicio no recibe ni consolida de forma retroactiva los resultados de seguridad generados antes de habilitar el CSPM de Security Hub.

La página de **integraciones** de la consola CSPM de Security Hub proporciona acceso a las integraciones de productos disponibles AWS y de terceros. La API del CSPM de Security Hub también incluye operaciones para administrar integraciones.

Es posible que una integración no esté disponible en todos. Regiones de AWS Si una integración no es compatible en la región en la que inició sesión en la consola del CSPM de Security Hub, dicha integración no aparece en la página **Integraciones** de la consola. Para obtener una lista de las integraciones que están disponibles en las regiones de China y AWS GovCloud (US) Regions, consulte[Disponibilidad de las integraciones por región](securityhub-regions.md#securityhub-regions-integration-support).

Además de las Servicio de AWS integraciones integradas de terceros, puede integrar productos de seguridad personalizados con Security Hub CSPM. Luego puede enviar los resultados desde estos productos al CSPM de Security Hub a través de la API del CSPM de Security Hub. También puede usar la API para actualizar resultados existentes que el CSPM de Security Hub haya recibido desde un producto de seguridad personalizado.

**Topics**
+ [Revisión de una lista de las integraciones del CSPM de Security Hub](securityhub-integrations-view-filter.md)
+ [Habilitación del flujo de resultados desde una integración del CSPM de Security Hub](securityhub-integration-enable.md)
+ [Desactivación del flujo de resultados provenientes de una integración con el CSPM de Security Hub](securityhub-integration-disable.md)
+ [Visualización de los resultados a partir de una integración con el CSPM de Security Hub](securityhub-integration-view-findings.md)
+ [Servicio de AWS integraciones con Security Hub CSPM](securityhub-internal-providers.md)
+ [Integraciones de productos de terceros con el CSPM de Security Hub](securityhub-partner-providers.md)
+ [Integración del CSPM de Security Hub con productos personalizados](securityhub-custom-providers.md)

# Revisión de una lista de las integraciones del CSPM de Security Hub
<a name="securityhub-integrations-view-filter"></a>

Elija el método que prefiera y siga los pasos para revisar la lista de integraciones del CSPM de AWS Security Hub o para ver detalles sobre una integración específica.

------
#### [ Security Hub CSPM console ]

**Para revisar las opciones y los detalles de las integraciones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, seleccione **Integraciones**.

En la página **Integraciones**, primero se muestran las integraciones con otros Servicios de AWS , seguidas por las integraciones con productos de terceros.

Para cada integración, la página **Integraciones** proporciona la siguiente información:
+ El nombre de la empresa
+ El nombre del producto
+ Una descripción de la integración
+ Las categorías a las que se aplica la integración
+ Cómo habilitar la integración
+ El estado actual de la integración

Puede filtrar la lista utilizando texto de los siguientes campos:
+ Nombre de la empresa
+ Product name (Nombre del producto)
+ Descripción de integración
+ Categorías

------
#### [ Security Hub CSPM API ]

**Para revisar las opciones y los detalles de las integraciones (API)**

Para obtener una lista de integraciones, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html). Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)comando.

Para obtener detalles sobre una integración específica, utilice el parámetro `ProductArn` para especificar el nombre de recurso de Amazon (ARN) de la integración.

Por ejemplo, el siguiente AWS CLI comando recupera detalles sobre la integración de Security Hub CSPM con 3. CORESec

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Habilitación del flujo de resultados desde una integración del CSPM de Security Hub
<a name="securityhub-integration-enable"></a>

En la página **Integraciones** de la consola CSPM de AWS Security Hub, puede ver los pasos necesarios para habilitar cada integración.

Para la mayoría de las integraciones con otros Servicios de AWS, el único paso necesario para habilitar la integración es habilitar el otro servicio. La información de integración incluye un enlace a la página principal del otro servicio. Cuando habilita el otro servicio, se crea y aplica automáticamente un permiso a nivel de recurso que permite al CSPM de Security Hub recibir resultados desde ese servicio.

En el caso de las integraciones de productos de terceros, es posible que tengas que comprar la integración en el y AWS Marketplace, a continuación, configurarla. La información de integración proporciona enlaces para completar estas tareas.

Si hay más de una versión de un producto disponible AWS Marketplace, selecciona la versión a la que deseas suscribirte y, a continuación, selecciona **Continuar con la suscripción**. Por ejemplo, algunos productos ofrecen una versión estándar y una AWS GovCloud (US) versión.

Cuando se habilita una integración de productos, se asocia automáticamente una política de recursos a la suscripción del producto. Esta política de recursos define los permisos que el CSPM de Security Hub necesita para recibir resultados de ese producto.

Una vez que haya completado los pasos preliminares para habilitar una integración, puede deshabilitar y volver a habilitar el flujo de resultados desde esa integración. En la página **Integraciones**, para las integraciones que envíen resultados, el campo **Estado** indica si está actualmente aceptando resultados.

------
#### [ Security Hub CSPM console ]

**Para deshabilitar y habilitar el flujo de resultados desde una integración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, seleccione **Integraciones**.

1. En el caso de las integraciones que envían resultados, la información de **Estado** indica si el CSPM de Security Hub actualmente acepta resultados a partir de esa integración.

1. Seleccione **Aceptar los resultados**.

------
#### [ Security Hub CSPM API ]

Utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html). Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)comando. Para permitir que Security Hub reciba resultados desde una integración, necesita el ARN del producto. Para obtener las ARNs integraciones disponibles, utilice la [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operación. Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html).

Por ejemplo, el siguiente AWS CLI comando permite que Security Hub CSPM reciba las conclusiones de la integración de CrowdStrike Falcon. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Desactivación del flujo de resultados provenientes de una integración con el CSPM de Security Hub
<a name="securityhub-integration-disable"></a>

Elija el método que prefiera y siga los pasos para deshabilitar el flujo de hallazgos de una integración CSPM de AWS Security Hub.

------
#### [ Security Hub CSPM console ]

**Para deshabilitar el flujo de resultados desde una integración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, seleccione **Integraciones**.

1. En el caso de las integraciones que envían resultados, la información de **Estado** indica si el CSPM de Security Hub actualmente acepta resultados a partir de esa integración.

1. Seleccione **Dejar de aceptar resultados**.

------
#### [ Security Hub CSPM API ]

Utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html). Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)comando. Para desactivar el flujo de resultados de una integración, necesita el ARN de suscripción para la integración habilitada. Para obtener el ARN de suscripción, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html). Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html).

Por ejemplo, el siguiente AWS CLI comando deshabilita el flujo de hallazgos hacia Security Hub CSPM desde la CrowdStrike integración de Falcon. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Visualización de los resultados a partir de una integración con el CSPM de Security Hub
<a name="securityhub-integration-view-findings"></a>

**Cuando comience a aceptar las conclusiones de una integración de CSPM de AWS Security Hub, la página **Integraciones** de la consola de CSPM de Security Hub mostrará el **estado** de la integración como Aceptando las conclusiones.** Para ver una lista de los resultados provenientes de la integración, seleccione **Ver resultados**.

La lista de resultados muestra los resultados activos de la integración seleccionada que tienen un estado de flujo de trabajo `NEW` o `NOTIFIED`.

Si habilita la agregación entre regiones, en la región de agregación, la lista incluye los resultados de la región de agregación y de las regiones vinculadas en las que la integración esté habilitada. Security Hub no habilita de forma automática las integraciones basadas en la configuración de agregación entre regiones.

En otras regiones, la lista de resultados de una integración solo contiene los resultados de la región actual.

Para obtener información sobre cómo configurar la agregación entre regiones, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

En la lista de resultados puede realizar las siguientes acciones.
+ [Cambiar los filtros y la agrupación de la lista](securityhub-findings-manage.md)
+ [Ver los detalles de cada resultado](securityhub-findings-viewing.md#finding-view-details-console)
+ [Actualizar el estado de flujo de trabajo de los resultados](findings-workflow-status.md)
+ [Enviar los resultados a acciones personalizadas](findings-custom-action.md)

# Servicio de AWS integraciones con Security Hub CSPM
<a name="securityhub-internal-providers"></a>

AWS Security Hub CSPM admite integraciones con varios otros. Servicios de AWS Estas integraciones pueden ayudar a obtener una visión global de la seguridad y conformidad en todo su entorno de AWS .

A menos que se indique lo contrario a continuación, Servicio de AWS las integraciones que envían los resultados a Security Hub CSPM se activan automáticamente después de activar Security Hub CSPM y el otro servicio. Es posible que se necesite realizar pasos adicionales para habilitar algunas integraciones que reciben resultados del CSPM de Security Hub. Revise la información sobre cada integración para obtener más información.

Algunas integraciones no están disponibles en todas. Regiones de AWS En la consola del CSPM de Security Hub, una integración no aparece en la página **Integraciones** si no es compatible en la región actual. Para obtener una lista de las integraciones que están disponibles en las regiones de China y AWS GovCloud (US) Regions, consulte[Disponibilidad de las integraciones por región](securityhub-regions.md#securityhub-regions-integration-support).

## Descripción general de las integraciones de AWS servicios con Security Hub (CSPM)
<a name="internal-integrations-summary"></a>

La siguiente tabla proporciona una descripción general de AWS los servicios que envían las conclusiones al Security Hub CSPM o reciben las conclusiones del Security Hub CSPM.


| Servicio integrado AWS  | Dirección | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  Envía resultados  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  Envía resultados  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  Envía resultados  | 
|  [AWS Health](#integration-health)  |  Envía resultados  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  Envía resultados  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  Envía resultados  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  Envía resultados  | 
|  [Amazon Macie](#integration-amazon-macie)  |  Envía resultados  | 
|  [Amazon Route 53 Resolver Firewall de DNS](#integration-amazon-r53rdnsfirewall)  |  Envía resultados  | 
|  [AWS Systems Manager Patch Manager](#patch-manager)  |  Envía resultados  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  Recibe resultados  | 
|  [Amazon Q Developer en aplicaciones de chat](#integration-chatbot)  |  Recibe resultados  | 
|  [Amazon Detective](#integration-amazon-detective)  |  Recibe resultados  | 
|  [Amazon Security Lake](#integration-security-lake)  |  Recibe resultados  | 
|  [AWS Systems Manager Explorer y OpsCenter](#integration-ssm-explorer-opscenter)  |  Recibe y actualiza resultados  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  Recibe resultados  | 

## Servicios de AWS que envían los resultados a Security Hub (CSPM)
<a name="integrations-internal-send"></a>

Los siguientes elementos se Servicios de AWS integran con el Security Hub CSPM y pueden enviarse a él. El CSPM de Security Hub convierte los resultados al [Formato de resultados de seguridad de AWS](securityhub-findings-format.md).

### AWS Config (Envía los resultados)
<a name="integration-config"></a>

AWS Config es un servicio que le permite evaluar, auditar y evaluar las configuraciones de sus AWS recursos. AWS Config supervisa y registra continuamente las configuraciones de sus AWS recursos y le permite automatizar la evaluación de las configuraciones registradas comparándolas con las configuraciones deseadas.

Al utilizar la integración con AWS Config, puede ver los resultados de las evaluaciones de reglas AWS Config gestionadas y personalizadas como hallazgos en Security Hub CSPM. Estos resultados se pueden ver junto con otros resultados del CSPM de Security Hub, lo que proporciona una visión general completa de la posición de seguridad.

AWS Config usa Amazon EventBridge para enviar evaluaciones de AWS Config reglas a Security Hub (CSPM). El CSPM de Security Hub transforma las evaluaciones de reglas en resultados que adoptan el [Formato de resultados de seguridad de AWS](securityhub-findings-format.md). Posteriormente, el CSPM de Security Hub complementa los resultados, según sea posible, con información adicional sobre los recursos afectados, como el nombre de recurso de Amazon (ARN), las etiquetas del recurso y la fecha de creación.

Para obtener más información sobre esta integración, consulte las secciones siguientes.

#### Cómo AWS Config envía los resultados a Security Hub (CSPM)
<a name="integration-config-how"></a>

Todos los resultados en el CSPM de Security Hub usan el formato JSON estándar de ASFF. El ASFF incluye detalles sobre el origen del hallazgo, el recurso afectado y el estado actual del hallazgo. AWS Config envía evaluaciones de reglas gestionadas y personalizadas a Security Hub CSPM a través de. EventBridge El CSPM de Security Hub transforma las evaluaciones de reglas en resultados que siguen el formato ASFF y enriquece los resultados en la medida de lo posible.

##### Tipos de hallazgos que se AWS Config envían a Security Hub (CSPM)
<a name="integration-config-how-types"></a>

Una vez activada la integración, AWS Config envía las evaluaciones de todas las reglas AWS Config administradas y las reglas personalizadas a Security Hub CSPM. Solo se envían las evaluaciones que se realizaron después de habilitar el CSPM de Security Hub. Por ejemplo, supongamos que la evaluación de una regla de AWS Config revela cinco recursos fallidos. Si habilita el CSPM de Security Hub después de esa evaluación y la regla identifica un sexto recurso con fallas, AWS Config envía únicamente la evaluación de ese sexto recurso al CSPM de Security Hub.

Se excluyen las evaluaciones de [AWS Config las reglas vinculadas a servicios](securityhub-setup-prereqs.md), como las que se utilizan para ejecutar comprobaciones de los controles CSPM de Security Hub. La excepción son las conclusiones generadas por las reglas vinculadas al servicio que crean y gestionan. AWS Control Tower AWS Config Incluir los resultados de estas reglas ayuda a garantizar que los datos de sus hallazgos incluyan los resultados de las comprobaciones proactivas realizadas por. AWS Control Tower

##### Envío de AWS Config los resultados a Security Hub (CSPM)
<a name="integration-config-how-types-send-findings"></a>

Cuando se activa la integración, el CSPM de Security Hub asigna automáticamente los permisos necesarios para recibir resultados de AWS Config. Security Hub CSPM utiliza permisos de service-to-service nivel que le proporcionan una forma segura de activar esta integración e importar los resultados desde AWS Config Amazon. EventBridge

##### Latencia para el envío de resultados
<a name="integration-config-how-types-latency"></a>

Cuando AWS Config crea un nuevo hallazgo, normalmente puede verlo en Security Hub CSPM en cinco minutos.

##### Reintentos cuando el CSPM de Security Hub no está disponible
<a name="integration-config-how-types-retrying"></a>

AWS Config envía las conclusiones al Security Hub CSPM haciendo todo lo posible. EventBridge Cuando un evento no se entrega correctamente a Security Hub CSPM, EventBridge vuelve a intentar la entrega hasta 24 horas o 185 veces, lo que ocurra primero.

##### Actualización de los AWS Config hallazgos existentes en Security Hub (CSPM)
<a name="integration-config-how-types-updating"></a>

Tras AWS Config enviar un hallazgo al Security Hub CSPM, este puede enviar actualizaciones del mismo hallazgo al Security Hub CSPM para reflejar observaciones adicionales de la actividad de búsqueda. Las actualizaciones solo se envían para eventos de `ComplianceChangeNotification`. Si no se produce ningún cambio relacionado con el cumplimiento, no se envían actualizaciones al CSPM de Security Hub. El CSPM de Security Hub elimina los resultados a los 90 días desde su actualización más reciente o, si no ocurre ninguna actualización, a los 90 días desde su creación.

Security Hub CSPM no archiva las conclusiones que se envían AWS Config incluso si se elimina el recurso asociado.

##### Regiones en las que existen hallazgos AWS Config
<a name="integration-config-how-types-regions"></a>

AWS Config los hallazgos se producen a nivel regional. AWS Config envía las conclusiones al Security Hub (CSPM) de la misma región o regiones en las que se producen las conclusiones.

### Visualización de AWS Config los resultados en Security Hub CSPM
<a name="integration-config-view"></a>

Para ver sus AWS Config hallazgos, elija **Hallazgos** en el panel de navegación CSPM de Security Hub. Para filtrar los resultados y mostrar solo los AWS Config hallazgos, elija el **nombre del producto** en el menú desplegable de la barra de búsqueda. Introduzca **Config** y seleccione **Aplicar**.

#### Interpretación de la AWS Config búsqueda de nombres en Security Hub (CSPM)
<a name="integration-config-view-interpret-finding-names"></a>

Security Hub CSPM transforma las evaluaciones de AWS Config reglas en hallazgos que siguen las. [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md) AWS Config las evaluaciones de reglas utilizan un patrón de eventos diferente al de la ASFF. La siguiente tabla asigna los campos de las evaluaciones de reglas de AWS Config a sus equivalentes en el ASFF tal como aparecen en el CSPM de Security Hub.


| Configuración de tipo de resultado de la evaluación de reglas | Tipo de resultado ASFF | Valor codificado | 
| --- | --- | --- | 
| detalle. awsAccountId | AwsAccountId |   | 
| detalle. newEvaluationResult. resultRecordedTime | CreatedAt |   | 
| detalle. newEvaluationResult. resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | <partition><region>«arn ::securityhub:::» product/aws/config | 
|  | ProductName | “Config” | 
|  | CompanyName | "AWS" | 
|  | Region | “eu-central-1” | 
| configRuleArn | GeneratorId, ProductFields |  | 
| detalle. ConfigRuleARN/finding/hash | Id |  | 
| detalle. configRuleName | Título, ProductFields |  | 
| detalle. configRuleName | Description (Descripción) | “Este resultado se crea para un cambio de conformidad del recurso para la regla de configuración: \$1\$1detail.ConfigRuleName\$1“ | 
| Elemento de configuración “ARN” o ARN calculado por el CSPM de Security Hub | Resources[i].id |  | 
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" | 
|  | Resources[i].Partition | "aws" | 
|  | Resources[i].Region | “eu-central-1” | 
| Elemento de configuración “configuración” | Resources[i].Details |  | 
|  | SchemaVersion | “10/08/2018” | 
|  | Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | 
|  | Tipos | [“Comprobaciones de configuración y software”] | 
| detalle. newEvaluationResult. Tipo de conformidad | Compliance.Status | “NO\$1APROBADO”, “NO\$1DISPONIBLE”, “APROBADO” o “ADVERTENCIA” | 
|  | Workflow.Status | «RESUELTO» si se genera una AWS Config constatación con un estado de conformidad de «APROBADO» o si el estado de conformidad cambia de «FALLIDO» a «APROBADO». De lo contrario, Workflow.Status será “NUEVO”. Puedes cambiar este valor con la operación de la API. [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) | 

#### Interpretación de la etiqueta de gravedad
<a name="integration-config-view-interpret-severity"></a>

Todos los resultados de las evaluaciones de las AWS Config reglas tienen una etiqueta de gravedad predeterminada de **MEDIUM** en el ASFF. Puede actualizar la etiqueta de gravedad de un resultado con la operación de la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

#### Hallazgo típico de AWS Config
<a name="integration-config-view-typical-finding"></a>

Security Hub CSPM transforma las evaluaciones de AWS Config reglas en hallazgos que siguen la ASFF. El siguiente es un ejemplo de un hallazgo típico del ASFF AWS Config .

**nota**  
Si la descripción tiene más de 1024 caracteres, se truncará a 1024 caracteres y al final dirá «(truncada)».

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### Habilitación y configuración de la integración
<a name="integration-config-enable"></a>

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. AWS Config empieza a enviar resultados al CSPM de Security Hub de inmediato.

### Cómo detener la publicación de resultados en el CSPM de Security Hub
<a name="integration-config-stop"></a>

Para dejar de enviar resultados al CSPM de Security Hub, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.

Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte [Habilitación del flujo de resultados desde una integración del CSPM de Security Hub](securityhub-integration-enable.md).

### AWS Firewall Manager (Envía los resultados)
<a name="integration-aws-firewall-manager"></a>

Firewall Manager envía resultados al CSPM de Security Hub cuando una política de firewall de aplicaciones web (WAF) para recursos o una regla de lista de control de acceso web (web ACL) no cumple con los requisitos de cumplimiento. Firewall Manager también envía los resultados cuando AWS Shield Advanced no protege los recursos o cuando se identifica un ataque.

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. Firewall Manager empieza a enviar resultados al CSPM de Security Hub de inmediato.

Para obtener más información sobre la integración, consulte la página **Integraciones** en la consola del CSPM de Security Hub.

Para obtener más información sobre Firewall Manager, consulte la [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).

### Amazon GuardDuty (envía los resultados)
<a name="integration-amazon-guardduty"></a>

GuardDuty envía todos los tipos de hallazgos que genera al Security Hub CSPM. Algunos tipos de resultados tienen requisitos previos, requisitos de habilitación o limitaciones por región. Para obtener más información, consulta la [GuardDuty búsqueda de tipos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) en la *Guía del GuardDuty usuario de Amazon*.

Los nuevos hallazgos GuardDuty se envían al Security Hub CSPM en cinco minutos. Las actualizaciones de las conclusiones se envían en función de la configuración de **Hallazgos actualizados** de Amazon EventBridge en GuardDuty la configuración.

Al generar resultados de GuardDuty muestra mediante la página de GuardDuty **configuración**, Security Hub CSPM recibe los resultados de muestra y omite el prefijo `[Sample]` en el tipo de hallazgo. Por ejemplo, el ejemplo del tipo de búsqueda GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` se muestra como `Recon:IAMUser/ResourcePermissions` en Security Hub CSPM.

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. GuardDuty empieza inmediatamente a enviar resultados al CSPM de Security Hub.

Para obtener más información sobre la GuardDuty integración, consulte [Integración con AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) en la Guía * GuardDuty del usuario de Amazon*.

### AWS Health (Envía los resultados)
<a name="integration-health"></a>

AWS Health proporciona una visibilidad continua del rendimiento de sus recursos y de la disponibilidad de sus Servicios de AWS y Cuentas de AWS. Puede usar los eventos AWS Health para saber cómo pueden afectar los cambios de servicios y recursos a las aplicaciones que ejecuta en AWS.

La integración con AWS Health no utiliza`BatchImportFindings`. En su lugar, AWS Health utiliza la mensajería de service-to-service eventos para enviar las conclusiones al Security Hub (CSPM).

Para obtener más información sobre la integración, consulte las siguientes secciones.

#### Cómo AWS Health envía los resultados a Security Hub (CSPM)
<a name="integration-health-how"></a>

En Security Hub CSPM, se realiza seguimiento de los problemas de seguridad como resultados. Algunos hallazgos provienen de problemas detectados por otros AWS servicios o por socios externos. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md). También puede realizar un seguimiento del estado de una investigación sobre un resultado. Consulte [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md).

Todos los resultados en el CSPM de Security Hub utilizan un formato JSON estándar denominado [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado.

AWS Health es uno de los AWS servicios que envía los resultados a Security Hub CSPM.

##### Tipos de hallazgos que se AWS Health envían a Security Hub (CSPM)
<a name="integration-health-how-types"></a>

Una vez habilitada la integración, AWS Health envía los resultados que cumplen con una o más de las especificaciones enumeradas a Security Hub CSPM. El CSPM de Security Hub ingiere los resultados en el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).
+ Resultados que contienen cualquiera de los siguientes valores para el Servicio de AWS:
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ Hallazgos con las palabras `security``abuse`, o `certificate` en el campo AWS Health `typeCode`
+ Averigua dónde está el AWS Health servicio `risk` o `abuse`

##### Envío de AWS Health los resultados a Security Hub (CSPM)
<a name="integration-health-how-types-send-findings"></a>

Si decide aceptar las conclusiones de AWS Health, Security Hub CSPM asignará automáticamente los permisos necesarios para recibir las conclusiones. AWS Health Security Hub CSPM utiliza permisos de service-to-service nivel que le proporcionan una forma fácil y segura de habilitar esta integración e importar las conclusiones desde AWS Health Amazon EventBridge en su nombre. Al seleccionar **Aceptar resultados**, otorga al CSPM de Security Hub el permiso para consumir resultados provenientes de AWS Health.

##### Latencia para el envío de resultados
<a name="integration-health-how-types-latency"></a>

Cuando AWS Health crea un nuevo hallazgo, normalmente se envía al Security Hub CSPM en un plazo de cinco minutos.

##### Reintentos cuando el CSPM de Security Hub no está disponible
<a name="integration-health-how-types-retrying"></a>

AWS Health envía las conclusiones al Security Hub CSPM haciendo todo lo posible. EventBridge Cuando un evento no se entrega correctamente a Security Hub CSPM, EventBridge vuelve a intentar enviar el evento durante 24 horas.

##### Actualización de resultados existentes en el CSPM de Security Hub
<a name="integration-health-how-types-updating"></a>

Tras AWS Health enviar un hallazgo al Security Hub CSPM, este puede enviar actualizaciones del mismo hallazgo para reflejar observaciones adicionales de la actividad de búsqueda al Security Hub CSPM. 

##### Regiones en las que existen resultados
<a name="integration-health-how-types-regions"></a>

Para eventos globales, AWS Health envía los resultados al Security Hub CSPM en us-east-1 (partición AWS ), cn-northwest-1 (partición de China) y -1 (partición). gov-us-west GovCloud AWS Health envía los eventos específicos de la región al Security Hub (CSPM) de la misma región o regiones en las que se producen los eventos.

#### Visualización de AWS Health los resultados en Security Hub CSPM
<a name="integration-health-view"></a>

**Para ver sus AWS Health hallazgos en Security Hub CSPM, elija Findings en el panel de navegación.** Para filtrar los hallazgos y mostrar solo AWS Health los hallazgos, selecciona **Salud** en el campo **Nombre del producto**.

##### Interpretación de la AWS Health búsqueda de nombres en Security Hub (CSPM)
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health envía los resultados al Security Hub CSPM mediante. [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md) AWS Health la búsqueda utiliza un patrón de eventos diferente al del formato ASFF CSPM de Security Hub. La siguiente tabla detalla todos los campos de AWS Health búsqueda con su homólogo ASFF tal como aparecen en Security Hub CSPM.


| Tipo de resultado de Estado | Tipo de resultado ASFF | Valor codificado | 
| --- | --- | --- | 
| inscrita | AwsAccountId |   | 
| detail.startTime | CreatedAt |   | 
| detail.eventDescription.latestDescription | Description (Descripción) |   | 
| detalle. eventTypeCode | GeneratorId |   | 
| detail.eventArn (incluido account) \$1 hash de detail.startTime | Id |   | 
| <region>«arn:aws:securityhub:::» product/aws/health | ProductArn |   | 
| account o resourceId | Resources[i].id |   | 
|   | Resources[i].Type | “Otros” | 
|   | SchemaVersion | “10/08/2018” | 
|   | Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | 
| «-» detalle.AWS Health eventTypeCode | Title |   | 
| - | Tipos | [“Comprobaciones de configuración y software”] | 
| event.time | UpdatedAt |   | 
| URL del evento de la consola Estado | SourceUrl |   | 

##### Interpretación de la etiqueta de gravedad
<a name="integration-health-view-interpret-severity"></a>

La etiqueta de gravedad del resultado de ASFF se determina mediante la siguiente lógica:
+ Gravedad **CRÍTICA** si:
  + El campo `service` del resultado AWS Health tiene el valor `Risk`
  + El campo `typeCode` del resultado AWS Health tiene el valor `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  + El campo `typeCode` del resultado AWS Health tiene el valor `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  + El campo `typeCode` del resultado AWS Health tiene el valor `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  Gravedad **ALTA** si:
  + El campo `service` del resultado AWS Health tiene el valor `Abuse`
  + El campo `typeCode` del resultado AWS Health contiene el valor `SECURITY_NOTIFICATION`
  + El campo `typeCode` del resultado AWS Health contiene el valor `ABUSE_DETECTION`

  Gravedad **MEDIA** si:
  + El campo `service` del resultado es cualquiera de los siguientes: `ACM`, `ARTIFACT`, `AUDITMANAGER`, `BACKUP`, `CLOUDENDURE`, `CLOUDHSM`, `CLOUDTRAIL`, `CLOUDWATCH`, `CODEGURGU`, `COGNITO`, `CONFIG`, `CONTROLTOWER`, `DETECTIVE`, `DIRECTORYSERVICE`, `DRS`, `EVENTS`, `FIREWALLMANAGER`, `GUARDDUTY`, `IAM`, `INSPECTOR`, `INSPECTOR2`, `IOTDEVICEDEFENDER`, `KMS`, `MACIE`, `NETWORKFIREWALL`, `ORGANIZATIONS`, `RESILIENCEHUB`, `RESOURCEMANAGER`, `ROUTE53`, `SECURITYHUB`, `SECRETSMANAGER`, `SES`, `SHIELD`, `SSO` o `WAF`
  + El campo **typeCode** del resultado AWS Health contiene el valor `CERTIFICATE`
  + El campo **typeCode** del resultado AWS Health contiene el valor `END_OF_SUPPORT`

##### Hallazgo típico de AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health envía los resultados al Security Hub CSPM mediante. [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md) El siguiente es un ejemplo de un hallazgo típico de. AWS Health

**nota**  
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá *(truncada)*.

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### Habilitación y configuración de la integración
<a name="integration-health-enable"></a>

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. AWS Health empieza inmediatamente a enviar resultados al CSPM de Security Hub.

#### Cómo detener la publicación de resultados en el CSPM de Security Hub
<a name="integration-health-stop"></a>

Para dejar de enviar resultados al CSPM de Security Hub, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.

Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte [Habilitación del flujo de resultados desde una integración del CSPM de Security Hub](securityhub-integration-enable.md).

### AWS Identity and Access Management Access Analyzer (Envía los resultados)
<a name="integration-iam-access-analyzer"></a>

Con el Analizador de acceso de IAM, todos los resultados se envían al CSPM de Security Hub.

IAM Access Analyzer utiliza un razonamiento lógico para analizar las políticas basadas en recursos que se aplican a los recursos de la cuenta compatibles. IAM Access Analyzer genera un resultado cuando detecta una declaración de la política que permite que una entidad principal externa pueda acceder a un recurso de la cuenta.

En IAM Access Analyzer, solo la cuenta de administrador puede ver los resultados de los analizadores que se aplican a una organización. En el caso de los analizadores de la organización, el campo `AwsAccountId` ASFF refleja el ID de la cuenta de administrador. Bajo `ProductFields`, el campo `ResourceOwnerAccount` indica la cuenta en la que se descubrió el resultado. Si habilita analizadores de forma individual para cada cuenta, el CSPM de Security Hub genera varios resultados: uno que identifica el ID de la cuenta de administrador y otro que identifica el ID de la cuenta de recursos. 

Para obtener más información, consulte [Integración con AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) en la Guía del usuario de *IAM*.

### Amazon Inspector (Envía resultados)
<a name="integration-amazon-inspector"></a>

Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus cargas de trabajo en AWS en busca de vulnerabilidades. Amazon Inspector descubre y escanea automáticamente las instancias e imágenes de contenedor de Amazon EC2 que residen en Amazon Elastic Container Registry. El escaneo busca vulnerabilidades de software y exposición no deseada en la red.

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. Amazon Inspector comienza de inmediato a enviar al CSPM de Security Hub todos los resultados que genera.

Para obtener más información sobre la integración, consulte [Integración con el CSPM de AWS Security Hub](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) en la *Guía del usuario de Amazon Inspector*.

El CSPM de Security Hub también puede recibir resultados de Amazon Inspector Classic. Amazon Inspector Classic envía al CSPM de Security Hub los resultados generados durante las ejecuciones de evaluaciones para todos los paquetes de reglas admitidos.

Para obtener más información sobre la integración, consulte [Integración con AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) en la Guía del *usuario de Amazon Inspector Classic*.

Los resultados de Amazon Inspector y Amazon Inspector Classic utilizan el mismo ARN de producto. Los resultados de Amazon Inspector presentan la siguiente entrada en `ProductFields`:

```
"aws/inspector/ProductVersion": "2",
```

**nota**  
 Los resultados de seguridad generados por [Amazon Inspector Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) no están disponibles para esta integración. Sin embargo, puede acceder a estos resultados concretos en la consola de Amazon Inspector y a través de la [API de Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html). 

### AWS IoT Device Defender (Envía los resultados)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender es un servicio de seguridad que audita la configuración de sus dispositivos de IoT, monitorea los dispositivos conectados para detectar comportamientos anormales y ayuda a mitigar los riesgos de seguridad.

Tras activar AWS IoT Device Defender tanto el CSPM como el Security Hub, visita la [página de integraciones de la consola CSPM de Security Hub](https://console.aws.amazon.com/securityhub/home#/integrations) y selecciona **Aceptar los resultados** para Auditar, Detectar o ambos. AWS IoT Device Defender Audit and Detect comienza a enviar todos los resultados al Security Hub (CSPM).

AWS IoT Device Defender La auditoría envía los resúmenes de las comprobaciones a Security Hub CSPM, que contienen información general sobre un tipo de comprobación de auditoría y una tarea de auditoría específicos. AWS IoT Device Defender Detect envía los hallazgos de infracciones relacionados con el aprendizaje automático (ML) y los comportamientos estadísticos y estáticos al Security Hub CSPM. Audit también envía actualizaciones de resultados al CSPM de Security Hub.

Para obtener más información sobre esta integración, consulte [Integración con el CSPM de AWS Security Hub](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) en la *Guía del desarrollador de AWS IoT *.

### Amazon Macie (Envía resultados)
<a name="integration-amazon-macie"></a>

Amazon Macie es un servicio de seguridad de datos que detecta datos confidenciales mediante el machine learning y la coincidencia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite establecer una protección automatizada contra esos riesgos. Un resultado de Macie puede indicar que existe una posible infracción de políticas o información confidencial en el entorno de datos de Amazon S3.

Después de habilitar el CSPM de Security Hub, Macie comienza automáticamente a enviar resultados de políticas al CSPM de Security Hub. Es posible configurar la integración para que también envíe resultados de información confidencial al CSPM de Security Hub.

En el CSPM de Security Hub, el tipo de resultado para un resultado de políticas o de información confidencial se cambia a un valor compatible con el formato ASFF. Por ejemplo, el tipo de resultado `Policy:IAMUser/S3BucketPublic` en Macie se muestra como `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` en el CSPM de Security Hub.

Macie también envía resultados de ejemplo generados al CSPM de Security Hub. En el caso de los resultados de muestra, el nombre del recurso afectado es `macie-sample-finding-bucket` y el valor del campo `Sample` es `true`.

Para obtener más información, consulte [Evaluación de resultados de Macie con Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) en la *Guía del usuario de Amazon Macie*.

### Amazon Route 53 Resolver Firewall de DNS (envía los resultados)
<a name="integration-amazon-r53rdnsfirewall"></a>

Con Amazon Route 53 Resolver DNS Firewall, puede filtrar y regular el tráfico DNS saliente para su nube privada virtual (VPC). Esto se logra mediante la creación de colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, la asociación de esos grupos de reglas con la VPC y la supervisión de la actividad en los registros y métricas de DNS Firewall. Puede ajustar cómo se comporta DNS Firewall en función de la actividad observada. DNS Firewall es una característica de Route 53 Resolver.

Route 53 Resolver DNS Firewall puede enviar varios tipos de resultados al CSPM de Security Hub:
+ Hallazgos relacionados con consultas bloqueadas o alertadas en dominios asociados a las listas de dominios AWS gestionadas, que son listas de dominios que se administran. AWS 
+ Resultados relacionados con consultas bloqueadas o con alertas en dominios asociados con una lista de dominios personalizada que defina.
+ Hallazgos relacionados con consultas bloqueadas o alertadas por DNS Firewall Advanced, una función de resolución de Route 53 que puede detectar consultas asociadas a amenazas avanzadas de DNS, como los algoritmos de generación de dominios (DGAs) y la tunelización de DNS.

Después de activar Security Hub CSPM y Route 53 Resolver DNS Firewall, DNS Firewall comienza a enviar automáticamente los resultados de las listas de dominios AWS gestionadas y DNS Firewall Advanced a Security Hub CSPM. Para enviar también al CSPM de Security Hub resultados de una lista de dominios personalizada, habilite manualmente la integración en el CSPM de Security Hub.

En el CSPM de Security Hub, todos los resultados de Route 53 Resolver DNS Firewall tienen el siguiente tipo: `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`.

Para obtener más información, consulte [Envío de resultados desde Route 53 Resolver DNS Firewall al CSPM de Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) en la *Guía para desarrolladores de Amazon Route 53*.

### AWS Systems Manager Administrador de parches (envía los resultados)
<a name="patch-manager"></a>

AWS Systems Manager Patch Manager envía los resultados al Security Hub CSPM cuando las instancias de la flota de un cliente no cumplen con su estándar de cumplimiento de parches.

Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.

Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. El Administrador de parches de Systems Manager comienza inmediatamente a enviar resultados al CSPM de Security Hub.

Para obtener más información acerca de cómo utilizar Patch Manager, consulte [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) en la *Guía del usuario de AWS Systems Manager *.

## AWS servicios que reciben las conclusiones de Security Hub (CSPM)
<a name="integrations-internal-receive"></a>

Los siguientes AWS servicios están integrados con el Security Hub CSPM y reciben las conclusiones del Security Hub CSPM. Cuando se indique lo contrario, el servicio integrado también puede actualizar resultados. En este caso, las actualizaciones de resultados que realice en el servicio integrado también se reflejarán en el CSPM de Security Hub.

### AWS Audit Manager (Recibe los resultados)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager recibe las conclusiones de Security Hub CSPM. Estos resultados ayudan a los usuarios de Audit Manager a prepararse para las auditorías.

Para obtener más información sobre Audit Manager, consulte la [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html). [AWS Las comprobaciones del CSPM de Security Hub compatibles con AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html) enumeran los controles para los cuales el CSPM de Security Hub envía resultados a Audit Manager.

### Amazon Q Developer en aplicaciones de chat (recibe resultados)
<a name="integration-chatbot"></a>

Amazon Q Developer en aplicaciones de chat es un agente interactivo que ayuda a supervisar e interactuar con los recursos de AWS en los canales de Slack y salas de chat de Amazon Chime.

Amazon Q Developer en aplicaciones de chat recibe resultados del CSPM de Security Hub.

Para obtener más información sobre la integración de Amazon Q Developer en aplicaciones de chat con el CSPM de Security Hub, consulte la [Descripción general de la integración con el CSPM de Security Hub](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) en la *Guía del administrador de Amazon Q Developer en aplicaciones de chat*.

### Amazon Detective (Recibe resultados)
<a name="integration-amazon-detective"></a>

Detective recopila automáticamente los datos de registro de sus AWS recursos y utiliza el aprendizaje automático, el análisis estadístico y la teoría de grafos para ayudarlo a visualizar y llevar a cabo investigaciones de seguridad más rápidas y eficientes.

La integración de Security Hub CSPM con Detective le permite pasar de los GuardDuty hallazgos de Amazon en Security Hub CSPM a Detective. A continuación, puede utilizar las herramientas y visualizaciones de Detective para investigarlos. Esta integración no requiere ninguna configuración adicional en el CSPM de Security Hub ni en Detective.

Para los hallazgos recibidos de otros Servicios de AWS, el panel de detalles de los hallazgos de la consola CSPM de Security Hub incluye una subsección **Investiga en Detective**. Esa subsección contiene un enlace a Detective, donde puede investigar más a fondo el problema de seguridad que indicó el resultado. También puede crear un gráfico de comportamiento en Detective basado en resultados del CSPM de Security Hub para realizar investigaciones más eficaces. Para obtener más información, consulte [Resultados de seguridad de AWS](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) en la *Guía de administración de Amazon Detective*.

Si la agregación entre regiones está habilitada, al pasar de la región de agregación, Detective se abre en la región en la que se originó el resultado.

Si un enlace no funciona, para obtener información sobre la solución de problemas, consulte [Solución de problemas del pivot](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).

### Amazon Security Lake (Recibe resultados)
<a name="integration-security-lake"></a>

Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Amazon Security Lake para centralizar automáticamente los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Los suscriptores pueden consumir datos de Security Lake para casos de uso de investigación y análisis.

Para activar esta integración, debe habilitar ambos servicios y agregar Security Hub CSPM como fuente en la consola de Security Lake, la API de Security Lake o. AWS CLI Una vez que complete estos pasos, el CSPM de Security Hub empieza a enviar todos los resultados a Security Lake.

Security Lake normaliza automáticamente los resultados del CSPM de Security Hub y los convierte a un esquema de código abierto estandarizado denominado Marco de Esquema de Ciberseguridad Abierto (OCSF). En Security Lake, puede agregar uno o más suscriptores para consumir los resultados del CSPM de Security Hub.

Para obtener más información sobre esta integración, incluidas las instrucciones sobre cómo añadir Security Hub CSPM como fuente y crear suscriptores, consulte [Integración con AWS Security Hub CSPM en la Guía del usuario](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) de *Amazon Security Lake*.

### AWS Systems Manager Explorer y OpsCenter (recibe y actualiza los resultados)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Explore y OpsCenter reciba las conclusiones del Security Hub CSPM y actualícelas en Security Hub CSPM.

Explorer le proporciona un panel personalizable con información y análisis clave sobre el estado y el rendimiento operativos de su entorno de AWS .

OpsCenter le proporciona una ubicación central para ver, investigar y resolver los elementos de trabajo operativos.

Para obtener más información sobre Explorer OpsCenter, consulte [Gestión de operaciones](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) en la *Guía del AWS Systems Manager usuario*.

### AWS Trusted Advisor (Recibe los resultados)
<a name="integration-trusted-advisor"></a>

Trusted Advisor se basa en las mejores prácticas aprendidas al atender a cientos de miles de AWS clientes. Trusted Advisor inspecciona su AWS entorno y, a continuación, hace recomendaciones cuando existen oportunidades para ahorrar dinero, mejorar la disponibilidad y el rendimiento del sistema o ayudar a cerrar las brechas de seguridad.

Al habilitar tanto Trusted Advisor el CSPM como el Security Hub, la integración se actualiza automáticamente.

Security Hub CSPM envía los resultados de sus comprobaciones de mejores prácticas de seguridad AWS fundamentales a. Trusted Advisor

*Para obtener más información sobre la integración de CSPM con Security Hub Trusted Advisor, consulte [Visualización de los controles CSPM de AWS Security Hub en AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html) la Guía del usuario de Support AWS .*

# Integraciones de productos de terceros con el CSPM de Security Hub
<a name="securityhub-partner-providers"></a>

AWS Security Hub CSPM se integra con varios productos de socios de terceros. Una integración puede realizar una o más de las acciones siguientes:
+ Enviar resultados que genera al CSPM de Security Hub
+ Recibir resultados del CSPM de Security Hub
+ Actualizar resultados en el CSPM de Security Hub

Las integraciones que envían resultados al CSPM de Security Hub tienen un nombre de recurso de Amazon (ARN).

Es posible que una integración no esté disponible en todos. Regiones de AWS Si una integración no es compatible en la región en la que inició sesión en la consola del CSPM de Security Hub, dicha integración no aparece en la página **Integraciones** de la consola. Para obtener una lista de las integraciones que están disponibles en las regiones de China y AWS GovCloud (US) Regions, consulte[Disponibilidad de las integraciones por región](securityhub-regions.md#securityhub-regions-integration-support).

Si tiene una solución de seguridad y está interesado en convertirse en socio del CSPM de Security Hub, envíe un correo electrónico a securityhub-partners@amazon.com. Para obtener más información, consulte la [Guía de integración para socios](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).

## Descripción general de las integraciones de terceros con el CSPM de Security Hub
<a name="integrations-third-party-summary"></a>

La siguiente tabla ofrece una descripción general de las integraciones de terceros que pueden enviar resultados al CSPM de Security Hub o recibir resultados del CSPM de Security Hub.


| Integración | Dirección | ARN (si corresponde) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  Envía resultados  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security – Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  Envía resultados  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  Envía resultados  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  Envía resultados  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  Recibe y actualiza resultados  |  No aplicable  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  Recibe y actualiza resultados  |  No aplicable  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  Recibe resultados  |  No aplicable  | 
|  [Dynatrace](#integration-dynatrace)  |  Recibe resultados  |  No aplicable  | 
|  [Elastic](#integration-elastic)  |  Recibe resultados  |  No aplicable  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  Recibe resultados  |  No aplicable  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  Recibe resultados  | No aplicable | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  Recibe resultados  |  No aplicable  | 
|  [MetricStream](#integration-metricstream)  |  Recibe resultados  |  No aplicable  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  Recibe resultados  |  No aplicable  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  Recibe resultados  |  No aplicable  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  Recibe resultados  |  No aplicable  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  Recibe resultados  |  No aplicable  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  Recibe resultados  |  No aplicable  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  Recibe resultados  |  No aplicable  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  Recibe resultados  |  No aplicable  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  Recibe resultados  |  No aplicable  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  Recibe y actualiza resultados  |  No aplicable  | 
|  [Slack – Slack](#integration-slack)  |  Recibe resultados  |  No aplicable  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  Recibe resultados  | No aplicable | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  Recibe resultados  |  No aplicable  | 
|  [ThreatModeler](#integration-threatmodeler)  |  Recibe resultados  |  No aplicable  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  Recibe resultados  |  No aplicable  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  Envía y recibe resultados  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  Envía y recibe resultados  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  Envía y recibe resultados  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  Envía y recibe resultados  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  Envía y recibe resultados  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Integraciones de terceros que envían resultados al CSPM de Security Hub
<a name="integrations-third-party-send"></a>

Las siguientes integraciones de productos de socios externos pueden enviar resultados al CSPM de Security Hub. El CSPM de Security Hub transforma los resultados al [formato de resultados de seguridad de AWS](securityhub-findings-format.md).

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESec proporciona servicios de detección gestionados tanto para sistemas en las instalaciones como de AWS . Su integración con el CSPM de Security Hub ofrece visibilidad sobre amenazas como malware, escalamiento de privilegios, movimiento lateral y segmentación incorrecta de la red.

[Enlace al producto](https://3coresec.com)

[Documentación de socios](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

Obtenga el nivel de cobertura adecuado: visibilidad de vulnerabilidades y activos, detección de amenazas y gestión de incidentes AWS WAF, y opciones de análisis de SOC asignadas.

[Enlace al producto](https://www.alertlogic.com/solutions/platform/aws-security/)

[Documentación de socios](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP)proporciona seguridad durante todo el ciclo de vida de las aplicaciones basadas en contenedores y sin servidor, desde la CI/CD canalización hasta los entornos de producción en tiempo de ejecución.

[Enlace al producto](https://blog.aquasec.com/aqua-aws-security-hub)

[Documentación de socios](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-bench es una herramienta de código abierto que ejecuta el Punto de referencia de Kubernetes del Center for Internet Security (Centro para la seguridad de Internet, CIS) con respecto a su entorno.

[Enlace al producto](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[Documentación de socios](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywhereofrece seguridad gestionada y conformidad para. AWS

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[Documentación de socios](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

AttackIQ Platform emula un comportamiento adverso real conforme al marco MITRE ATT&CK para ayudarle a validar y mejorar su posición general de seguridad.

[Enlace al producto](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[Documentación de socios](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

Barracuda Cloud Security Sentry ayuda a las organizaciones a mantener la seguridad al desarrollar aplicaciones y migrar cargas de trabajo hacia o desde la nube pública.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[Enlace al producto](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

La BigID Enterprise Privacy Management Platform ayuda a las empresas a gestionar y proteger sus datos confidenciales (PII) en todos sus sistemas.

[Enlace al producto](https://github.com/bigexchange/aws-security-hub)

[Documentación de socios](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon— Blue Hexagon para AWS
<a name="integration-blue-hexagon-for-aws"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagon es una plataforma de detección de amenazas en tiempo real. Utiliza principios de aprendizaje profundo para detectar amenazas conocidas y desconocidas, como malware y anomalías en la red.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[Documentación de socios](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuardamplía fácilmente la seguridad integral de prevención de amenazas y, al AWS mismo tiempo, protege los activos en la nube.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentación de socios](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

Una plataforma SaaS que ofrece seguridad de la red en la nube verificable, protección de IAM avanzada y gobernanza y conformidad integrales.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentación de socios](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDomeayuda a las organizaciones a proteger sus sistemas ciberfísicos en todo el Internet de las cosas (XIoT) extendido en entornos industriales (OT), sanitarios (IoMT) y empresariales (IoT).

[Enlace al producto](https://claroty.com/)

[Documentación de socios](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security – Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

Cloud Storage Security proporciona análisis antivirus y antimalware nativos en la nube para objetos de Amazon S3.

Antivirus for  Amazon S3 ofrece escaneos programados y en tiempo real de objetos y archivos en Amazon S3 para detectar malware y amenazas. Proporciona visibilidad y solución a los problemas y a los archivos infectados.

[Enlace al producto](https://cloudstoragesec.com/)

[Documentación de socios](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assesses una herramienta del IAST que permite detectar vulnerabilidades en tiempo real en aplicaciones web y microservicios. APIs Contrast Assessse integra con Security Hub CSPM para ayudar a proporcionar una visibilidad y una respuesta centralizadas para todas sus cargas de trabajo.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[Documentación de socios](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

El sensor individual y ligero CrowdStrike Falcon unifica antivirus de próxima generación, detección y respuesta de punto de conexión y vigilancia administrada 24/7 a través de la nube.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[Documentación de socios](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

Privileged Threat Analytics recopila, detecta, alerta y responde a actividades y comportamiento de alto riesgo de las cuentas privilegiadas que podrían tener ataques en curso.

[Enlace al producto](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[Documentación de socios](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theoremescanea continuamente las aplicaciones web y los recursos de la nube en busca de fallas de seguridad y brechas en la privacidad de los datos para evitar violaciones de AppSec datos. APIs

[Enlace al producto](https://www.datatheorem.com/partners/aws/)

[Documentación de socios](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drataes una plataforma de automatización del cumplimiento que le ayuda a lograr y mantener el cumplimiento de varios marcos SOC2, como la ISO y el GDPR. La integración entre Drata y el CSPM de Security Hub ayuda a centralizar los resultados de seguridad en un solo lugar.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[Documentación de socios](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

Forcepoint CASB le permite detectar el uso de aplicaciones en la nube, analizar riesgos y aplicar controles adecuados para SaaS y aplicaciones personalizadas.

[Enlace al producto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentación de socios](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**Tipo de integración:** Enviar

ARN del producto: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

Forcepoint Cloud Security Gateway es un servicio de seguridad en la nube convergente que proporciona visibilidad, control y protección contra amenazas a los usuarios y los datos, estén donde estén.

[Enlace al producto](https://www.forcepoint.com/product/cloud-security-gateway)

[Documentación de socios](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

Forcepoint DLP aborda el riesgo centrado en el ser humano con visibilidad y control dondequiera que los empleados trabajen y donde residan los datos.

[Enlace al producto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentación de socios](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFWle permite conectar su AWS entorno a la red empresarial con la escalabilidad, la protección y los conocimientos necesarios para gestionar su red y responder a las amenazas.

[Enlace al producto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentación de socios](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fuguees una plataforma nativa de la nube escalable y sin agentes que automatiza la validación continua infrastructure-as-code y el tiempo de ejecución de los entornos de ejecución en la nube mediante las mismas políticas.

[Enlace al producto](https://www.fugue.co/aws-security-hub-integration)

[Documentación de socios](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

Guardicore Centra proporciona visualización de flujo, microsegmentación y detección de interrupción para cargas de trabajo en los modernos centros de datos y nubes.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[Documentación de socios](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

La plataforma HackerOne se asocia con la comunidad mundial de hackers para descubrir los problemas de seguridad más relevantes. Vulnerability Intelligencepermite a su organización ir más allá del escaneo automatizado. Comparte vulnerabilidades que los piratas informáticos éticos de HackerOne han validado y proporciona medidas para reproducirlas.

[AWS enlace al mercado](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[Documentación de socios](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

JFrog Xray es una herramienta universal de análisis de la composición de software (Software Composition Analysis, SCA) para la seguridad de aplicaciones que escanea continuamente los archivos binarios para comprobar si cumplen con las licencias y si presentan vulnerabilidades de seguridad para que pueda ejecutar una cadena de suministro de software segura.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[Documentación de socios](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

Juniper Networks' vSRX Virtual Next Generation Firewall ofrece un firewall virtual completo basado en la nube con seguridad avanzada, una SD-WAN segura, redes sólidas y automatización integrada.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[Documentación de socios](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[Enlace al producto](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

k9 Security le notifica cuando se producen cambios de acceso importantes en su cuenta de AWS Identity and Access Management . Con élk9 Security, puede comprender el acceso que tienen los usuarios y las funciones de IAM a sus datos críticos Servicios de AWS y a sus datos.

k9 Security está diseñado para ofrecer servicios continuos, lo que le permite poner IAM en funcionamiento con auditorías de acceso prácticas y la automatización sencilla de políticas para AWS CDK y Terraform.

[Enlace al producto](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[Documentación de socios](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Lacework es la plataforma de seguridad basada en datos para la nube. La plataforma de seguridad en la nube Lacework automatiza la seguridad en la nube a escala para que pueda innovar con rapidez y seguridad.

[Enlace al producto](https://www.lacework.com/platform/aws/)

[Documentación de socios](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP)ofrece la gestión de la postura de seguridad en la nube (CSPM) y la plataforma de protección de la carga de trabajo en la nube (CWPP) para su entorno. AWS 

[Enlace al producto](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[Documentación de socios](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

NETSCOUT Cyber Investigator es una plataforma empresarial de análisis forense, investigación de riesgos y amenazas a la red que ayuda a reducir el impacto de las ciberamenazas en las empresas.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[Documentación de socios](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

Orca Cloud Security Platform identifica, prioriza y remedia riesgos y problemas de cumplimiento en todo el entorno en la nube. La plataforma de Orca’s, basada en inteligencia artificial y que funciona sin agentes como principio, ofrece una cobertura integral que detecta vulnerabilidades, configuraciones incorrectas, movimiento lateral, riesgos en API, información confidencial, eventos y comportamientos anómalos, e identidades con permisos excesivos.

Orcase integra con Security Hub CSPM para incorporar la telemetría de seguridad profunda en la nube al Security Hub CSPM. Orca, utilizando su SideScanning tecnología, prioriza el riesgo en la infraestructura de la nube, las cargas de trabajo, las aplicaciones, los datos, las identidades y más. APIs

[Enlace al producto](https://orca.security/partners/technology/amazon-web-services-aws/)

[Documentación de socios](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Computees una plataforma de ciberseguridad nativa de la nube que protege las plataformas VMs sin servidor y los contenedores.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentación de socios](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

Protege su AWS despliegue con análisis de seguridad en la nube, detección avanzada de amenazas y supervisión del cumplimiento.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentación de socios](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

Plerion es una plataforma de seguridad en la nube con un enfoque único orientado a las amenazas y al riesgo que ofrece medidas preventivas, de inspección y correctivas en todas sus cargas de trabajo. La integración entre Plerion y el CSPM de Security Hub permite centralizar los resultados de seguridad y tomar medidas al respecto desde un único lugar.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[Documentación de socios](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowleres una herramienta de seguridad de código abierto para realizar AWS comprobaciones relacionadas con las mejores prácticas de seguridad, el refuerzo y la supervisión continua.

[Enlace al producto](https://github.com/prowler-cloud/prowler)

[Documentación de socios](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

Qualys Vulnerability Management (VM) escanea e identifica continuamente las vulnerabilidades, protegiendo sus activos.

[Enlace al producto](https://www.qualys.com/public-cloud/#aws)

[Documentación de socios](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

Rapid7 InsightVM proporciona administración de vulnerabilidades para entornos modernos, lo que permite encontrar, priorizar y remediar vulnerabilidades de manera eficiente.

[Enlace al producto](https://www.rapid7.com/products/insightvm/)

[Documentación de socios](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

SentinelOne es una plataforma autónoma de detección y respuesta ampliadas (XDR) que abarca la prevención, la detección, la respuesta y la búsqueda impulsadas por IA en puntos de conexión, contenedores, cargas de trabajo en la nube y dispositivos de IoT.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[Enlace al producto](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

Snyk proporciona una plataforma de seguridad que analiza componentes de aplicaciones para detectar riesgos de seguridad en las cargas de trabajo que se estén ejecutando en AWS. Estos riesgos se envían al CSPM de Security Hub como resultados, lo que ayuda a los desarrolladores y a los equipos de seguridad a visualizarlos y priorizarlos junto con el resto de sus resultados de seguridad de AWS .

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[Documentación de socios](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

Sonrai Dig supervisa y corrige las configuraciones incorrectas de la nube y las infracciones de las políticas para que pueda mejorar su posición de seguridad y conformidad.

[Enlace al producto](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[Documentación de socios](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protectiondefiende las aplicaciones y los datos críticos que constituyen el núcleo de su organización mediante defense-in-depth técnicas integrales.

[Enlace al producto](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

StackRox ayuda a las empresas a proteger sus implementaciones de contenedores y Kubernetes a escala al aplicar sus políticas de conformidad y seguridad a lo largo de todo el ciclo de vida de los contenedores: creación, implementación y ejecución.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[Documentación de socios](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

Sumo Logic es una segura plataforma de análisis de datos de las máquinas que permite a los equipos de operaciones de crear, ejecutar y proteger sus aplicaciones de AWS .

[Enlace al producto](https://www.sumologic.com/application/aws-security-hub/)

[Documentación de socios](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

Cloud Workload Protection ofrece protección completa para las instancias Amazon EC2 con antimalware, prevención de intrusiones y monitorización de la integridad de los archivos.

[Enlace al producto](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[Documentación de socios](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

Puede identificar, investigar y priorizar las vulnerabilidades con precisión. Administrado en la nube.

[Enlace al producto](https://www.tenable.com/)

[Documentación de socios](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

Trend Micro Cloud One proporciona la información de seguridad correcta a los equipos en el momento y lugar correctos. Esta integración envía los resultados de seguridad al Security Hub CSPM en tiempo real, lo que mejora la visibilidad de sus AWS recursos y detalles de Trend Micro Cloud One eventos en Security Hub CSPM.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[Documentación de socios](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

Vectra está transformando la ciberseguridad mediante la aplicación de IA avanzada para detectar y responder a los ciberatacantes ocultos antes de que puedan robar o causar daños.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[Documentación de socios](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**Tipo de integración:** Enviar

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wizanaliza continuamente las configuraciones, las vulnerabilidades, las redes, la configuración de IAM, los secretos y mucho más en sus Cuentas de AWS usuarios y cargas de trabajo para descubrir problemas críticos que representan un riesgo real. Integre Wiz con el CSPM de Security Hub para visualizar y responder a los problemas que Wiz detecta desde la consola del CSPM de Security Hub.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[Documentación de socios](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Integraciones de terceros que reciben resultados del CSPM de Security Hub
<a name="integrations-third-party-receive"></a>

Las siguientes integraciones de productos de socios externos pueden recibir resultados del CSPM de Security Hub. Cuando se indique, el producto también podría actualizar resultados. En ese caso, las actualizaciones que realice en los resultados dentro del producto del socio también se reflejan en el CSPM de Security Hub.

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**Tipo de integración:** Recibir y actualizar

El formulario Jira envía AWS Service Management Connector los resultados desde el Security Hub CSPM a. Jira Jiralos problemas se crean en función de los hallazgos. Cuando se actualizan los problemas de Jira, los resultados correspondientes se actualizan en el CSPM de Security Hub.

La integración solo es compatible con Jira Server y Jira Data Center.

Para obtener una descripción general de la integración y su funcionamiento, vea el video [CSPM de AWS Security Hub: integración bidireccional con Atlassian Jira Service Management](https://www.youtube.com/watch?v=uEKwu0M8S3M).

[Enlace al producto](https://www.atlassian.com/software/jira/service-management)

[Documentación de socios](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**Tipo de integración:** Recibir y actualizar

Jira Service Management Cloud es el componente de nube de Jira Service Management. 

El formulario Jira envía AWS Service Management Connector los resultados desde el Security Hub CSPM a. Jira Los resultados desencadenan la creación de problemas en Jira Service Management Cloud. Cuando actualiza esos problemas en Jira Service Management Cloud, los resultados correspondientes también se actualizan en el CSPM de Security Hub.

[Enlace al producto](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[Documentación de socios](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**Tipo de integración:** Recibir

Opsgenie es una moderna solución de administración de incidentes para servicios siempre en funcionamiento, que permite a los equipos de desarrollo y operaciones planear interrupciones del servicio y mantener el control durante incidentes.

La integración con el CSPM de Security Hub garantiza que los incidentes críticos de seguridad se deriven a los equipos correspondientes para su resolución inmediata.

[Enlace al producto](https://www.atlassian.com/software/opsgenie)

[Documentación de socios](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**Tipo de integración:** Recibir

La integración de Dynatrace con el CSPM de Security Hub ayuda a unificar, visualizar y automatizar los resultados de seguridad de distintas herramientas y entornos. Añadir el contexto del tiempo de Dynatrace ejecución a las conclusiones de seguridad permite priorizar de forma más inteligente, ayuda a reducir el ruido que generan las alertas y permite a sus DevSecOps equipos centrarse en solucionar de forma eficiente los problemas críticos que afectan a sus entornos de producción y aplicaciones.

[Enlace al producto](https://www.dynatrace.com/solutions/application-security/)

[Documentación de socios](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**Tipo de integración:** Recibir

Elastic crea soluciones impulsadas por búsqueda para seguridad, observabilidad y búsquedas. Con la integración con el CSPM de Security Hub, Elastic ingiere mediante programación los resultados y productos de información que provienen del CSPM de Security Hub, los normaliza para establecer correlaciones y realizar análisis, y presenta paneles y detecciones unificadas en Elastic Security, lo que permite una clasificación y una investigación más rápidas sin necesidad de implementar agentes.

[Enlace al producto](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[Documentación de socios](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**Tipo de integración:** Recibir

FortiCNP es un producto de protección nativo en la nube que agrupa los resultados de seguridad en información procesable y prioriza la información de seguridad en función de la puntuación de riesgo para reducir la fatiga de alertas y acelerar la corrección.

[Enlace a AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[Documentación de socios](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**Tipo de integración:** Recibir

IBM QRadar de SIEM proporciona a los equipos de seguridad una forma rápida y precisa de detectar, priorizar, investigar y responder a las amenazas.

[Enlace al producto](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[Documentación de socios](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**Tipo de integración:** Recibir

Logz.io es un proveedor de Cloud SIEM que proporciona una correlación avanzada de los datos de registro y eventos para ayudar a los equipos de seguridad a detectar, analizar y responder a las amenazas de seguridad en tiempo real.

[Enlace al producto](https://logz.io/solutions/cloud-monitoring-aws/)

[Documentación de socios](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**Tipo de integración:** Recibir

MetricStream CyberGRC le ayuda a gestionar, medir y mitigar los riesgos de ciberseguridad. Al recibir resultados del CSPM de Security Hub, CyberGRC ofrece mayor visibilidad sobre estos riesgos, lo que permite priorizar inversiones en ciberseguridad y cumplir con las políticas de TI.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[Enlace al producto](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**Tipo de integración:** Recibir

ArcSight acelera la detección y la respuesta efectivas a las amenazas en tiempo real, integrando la correlación de eventos y los análisis supervisados y no supervisados con la automatización y la orquestación de las respuestas.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[Documentación de socios](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**Tipo de integración:** Recibir

New Relic Vulnerability Management recibe resultados de seguridad del CSPM de Security Hub, lo que permite contar con una vista centralizada de la seguridad junto con la telemetría de rendimiento, todo en el contexto completo de la pila.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[Documentación de socios](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**Tipo de integración:** Recibir

La plataforma de administración de operaciones digitales PagerDuty permite a los equipos mitigar proactivamente los problemas que afectan a los clientes, dirigiendo automáticamente cualquier señal a las acciones e información adecuadas.

AWS los usuarios pueden usar el PagerDuty conjunto de AWS integraciones para escalar sus entornos AWS y los híbridos con confianza.

Al combinarse con las alertas de seguridad que el CSPM de Security Hub agrupa y organiza, PagerDuty permite automatizar la respuesta ante amenazas y configurar rápidamente acciones personalizadas para evitar problemas potenciales.

Los usuarios de PagerDuty que llevan a cabo un proyecto de migración a la nube pueden moverlo rápidamente, a la vez que se disminuye el impacto de los problemas que se producen durante todo el ciclo de vida de la migración.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[Documentación de socios](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**Tipo de integración:** Recibir

Cortex XSOAR es una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que se integra con toda la pila de productos de seguridad para acelerar la respuesta ante incidentes y las operaciones de seguridad.

[Enlace al producto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentación de socios](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**Tipo de integración:** Recibir

La integración de Palo Alto VM-Series con el CSPM de Security Hub recopila inteligencia de amenazas y la envía al firewall de nueva generación VM-Series como una actualización automática de la política de seguridad que bloquea actividad maliciosa de direcciones IP.

[Enlace al producto](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[Documentación de socios](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**Tipo de integración:** Recibir

Rackspace Technology  ofrece servicios de seguridad administrados además de productos de seguridad nativos de AWS para el monitoreo las 24 horas del día, los 7 días de la semana, los 365 días del año por parte de Rackspace SOC, análisis avanzado y mitigación de amenazas.

[Enlace al producto](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**Tipo de integración:** Recibir

Rapid7 InsightConnect es una solución de automatización y orquestación de seguridad que permite a su equipo optimizar las operaciones SOC con poco o ningún código.

[Enlace al producto](https://www.rapid7.com/platform/)

[Documentación de socios](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**Tipo de integración:** Recibir

RSA Archer IT and Security Risk Management le permite determinar qué activos son fundamentales para su empresa, establecer y comunicar políticas y estándares de seguridad, detectar y responder a ataques, identificar y corregir deficiencias de seguridad y establecer prácticas recomendadas claras sobre gestión de riesgos de TI.

[Enlace al producto](https://community.rsa.com/docs/DOC-111898)

[Documentación de socios](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**Tipo de integración:** Recibir y actualizar

La integración de ServiceNow con el CSPM de Security Hub permite consultar los resultados de seguridad del servicio directamente desde ServiceNow ITSM. Puede configurar ServiceNow para crear automáticamente un incidente o problema cuando reciba un resultado del CSPM de Security Hub.

Cualquier actualización de estos incidentes y problemas genera actualizaciones en los resultados del CSPM de Security Hub.

Para obtener una descripción general de la integración y su funcionamiento, vea el video [CSPM de AWS Security Hub: integración bidireccional con  ServiceNow ITSM](https://www.youtube.com/watch?v=OYTi0sjEggE).

[Enlace al producto](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[Documentación de socios](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**Tipo de integración:** Recibir

Slack es una capa de la pila de tecnología empresarial que reúne personas, datos y aplicaciones. Conforma un lugar integral donde las personas pueden trabajar juntas de forma eficaz, encontrar información importante y acceder a cientos de miles de aplicaciones y servicios críticos para dar lo mejor en su trabajo.

[Enlace al producto](https://github.com/aws-samples/aws-securityhub-to-slack)

[Documentación de socios](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**Tipo de integración:** Recibir

Splunkutiliza Amazon CloudWatch Events como consumidor de las conclusiones del CSPM de Security Hub. Envíe sus datos a Splunk para un análisis de seguridad avanzado y SIEM.

[Enlace al producto](https://splunkbase.splunk.com/app/5767)

[Documentación de socios](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**Tipo de integración:** Recibir

Con la Splunk Phantom aplicación CSPM AWS de Security Hub, los resultados se envían a Phantom para enriquecer el contexto de forma automática con información adicional de inteligencia sobre amenazas o para realizar acciones de respuesta automatizadas.

[Enlace al producto](https://splunkbase.splunk.com/app/5767)

[Documentación de socios](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**Tipo de integración:** Recibir

ThreatModeler es una solución de modelado de amenazas automatizada que protege y amplía el ciclo de vida del desarrollo del software empresarial y la nube.

[Enlace al producto](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[Documentación de socios](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**Tipo de integración:** Recibir

Trellix Helix es una plataforma de operaciones de seguridad alojada en la nube que permite a las organizaciones tomar el control de cualquier incidente, desde la alerta hasta la solución.

[Enlace al producto](https://www.trellix.com/en-us/products/helix.html)

[Documentación de socios](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Integraciones de terceros que envían resultados al CSPM de Security Hub y reciben resultados del CSPM de Security Hub
<a name="integrations-third-party-send-receive"></a>

Las siguientes integraciones de productos de socios externos pueden enviar resultados al CSPM de Security Hub y recibir resultados de este servicio.

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**Tipo de integración:** Enviar y recibir

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

La plataforma Caveonix basada en inteligencia artificial automatiza la visibilidad, la evaluación y la mitigación en las nubes híbridas, y abarca los servicios nativos de la nube y los contenedores. VMs Integrado con AWS Security Hub CSPM, Caveonix combina AWS datos y análisis avanzados para obtener información sobre las alertas de seguridad y el cumplimiento.

[AWS Enlace a Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[Documentación de socios](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**Tipo de integración:** Enviar y recibir

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

Cloud Custodian permite a los usuarios estar bien administrados en la nube. El sencillo DSL de YAML permite que unas reglas fácilmente definidas habiliten una infraestructura de nube bien administrada, segura y optimizada en costos.

[Enlace al producto](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[Documentación de socios](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**Tipo de integración:** Enviar y recibir

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

La plataforma de operaciones de seguridad DisruptOps ayuda a las organizaciones a mantener las prácticas recomendadas de seguridad en la nube utilizando barreras de protección automatizadas.

[Enlace al producto](https://disruptops.com/ad/securityhub-isa/)

[Documentación de socios](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**Tipo de integración:** Enviar y recibir

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

Kion (anteriormente cloudtamer.io) es una solución completa de gobernanza de la nube para AWS. Kion ofrece a las partes interesadas visibilidad de las operaciones en la nube y ayuda a los usuarios de la nube a gestionar cuentas, controlar el presupuesto y los costos y garantizar la conformidad continua.

[Enlace al producto](https://kion.io/partners/aws)

[Documentación de socios](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**Tipo de integración:** Enviar y recibir

**ARN del producto:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

Turbot garantiza que la infraestructura de la nube sea segura, conforme, escalable y rentable.

[Enlace al producto](https://turbot.com/features/)

[Documentación de socios](https://turbot.com/blog/2018/11/aws-security-hub/)

# Integración del CSPM de Security Hub con productos personalizados
<a name="securityhub-custom-providers"></a>

Además de las conclusiones generadas por AWS los servicios integrados y los productos de terceros, AWS Security Hub CSPM puede consumir las conclusiones generadas por otros productos de seguridad personalizados.

Puede enviar estos resultados al CSPM de Security Hub mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub. Puede usar la misma operación para actualizar resultados provenientes de productos personalizados que ya envió al CSPM de Security Hub.

Al configurar la integración personalizada, utilice las [directrices y listas de verificación](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) incluidas en la *Guía de integración para socios del CSPM de Security Hub*.

## Requisitos y recomendaciones para las integraciones de productos personalizados
<a name="securityhub-custom-providers-bfi-reqs"></a>

Antes de poder invocar correctamente la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html), debe habilitar el CSPM de Security Hub.

También debe proporcionar detalles sobre los resultados del producto personalizado con el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Revise los siguientes requisitos y recomendaciones para las integraciones de productos personalizados:

**Configuración del ARN del producto**  
Cuando habilita el CSPM de Security Hub, se genera un nombre de recurso de Amazon (ARN) predeterminado para el CSPM de Security Hub en la cuenta actual.  
Este ARN del producto tiene el siguiente formato: `arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default`. Por ejemplo, `arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`.  
Utilice este ARN del producto como el valor para el atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn) al invocar la operación de la API `BatchImportFindings`.

**Configuración de los nombres de la empresa y los productos**  
Puede usar `BatchImportFindings` para establecer un nombre de empresa preferido y un nombre de producto preferido para la integración personalizada que envía resultados al CSPM de Security Hub.  
Los nombres que especifique reemplazan el nombre de empresa y el nombre de producto preconfigurados, denominados nombre personal y nombre predeterminado, respectivamente; y aparecen en la consola del CSPM de Security Hub y en el JSON de cada resultado. Consulte [BatchImportFindings para encontrar proveedores](finding-update-batchimportfindings.md).

**Establecer el hallazgo IDs**  
Debe proporcionar, gestionar e incrementar su propio hallazgo mediante IDs el [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)atributo.  
Cada nuevo resultado debería tener un ID de resultado único. Si el producto personalizado envía varios resultados con el mismo ID de resultado, el CSPM de Security Hub procesa únicamente el primer resultado.

**Establecer el ID de cuenta**  
Debe especificar su propio ID de cuenta, utilizando el atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId).

**Establecer las fechas creadas en y actualizadas en las fechas**  
Debe proporcionar sus propias marcas de tiempo para los atributos [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) y [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt).

## Actualización de los resultados de los productos personalizados
<a name="securityhub-custom-providers-update-findings"></a>

Además de enviar los nuevos resultados de los productos personalizados, también puede utilizar la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para actualizar los resultados existentes de los productos personalizados.

Para actualizar los resultados existentes, utilice el ID del resultado existente (a través del atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)). Vuelva a enviar el resultado completo con la información adecuada actualizada en la solicitud, incluida una marca de tiempo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) modificada.

## Integraciones personalizadas de ejemplo
<a name="securityhub-custom-providers-examples"></a>

Puede utilizar los siguientes ejemplos de integraciones de productos personalizados como guía para crear su propia solución personalizada:

**Envío de resultados provenientes de análisis de Chef InSpec al CSPM de Security Hub**  
Puede crear una CloudFormation plantilla que ejecute un análisis de [Chef InSpec](https://www.chef.io/products/chef-inspec/) conformidad y, a continuación, envíe los resultados a Security Hub CSPM.  
Para obtener más detalles, consulte [Supervisión continua de cumplimiento con Chef InSpec y AWS en el CSPM de Security Hub](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).

**Envío al CSPM de Security Hub de vulnerabilidades en contenedores detectadas por Trivy**  
Puede crear una CloudFormation plantilla que se utilice [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) para analizar los contenedores en busca de vulnerabilidades y, a continuación, enviar esas conclusiones de vulnerabilidad a Security Hub CSPM.  
Para obtener más información, consulte [Cómo crear una CI/CD canalización para el escaneo de vulnerabilidades de contenedores con TrivyAWS Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/).

# Creación y actualización de resultados en el CSPM de Security Hub
<a name="securityhub-findings"></a>

En AWS Security Hub CSPM, un *hallazgo* es un registro observable de un control de seguridad o una detección relacionada con la seguridad. Un resultado puede provenir de uno de los siguientes orígenes:
+ Una comprobación de seguridad correspondiente a un control del CSPM de Security Hub.
+ Una integración con otra. Servicio de AWS
+ Una integración con un producto de terceros.
+ Una integración personalizada.

El CSPM de Security Hub normaliza los resultados de todos los orígenes conforme a una sintaxis y un formato estándar denominados *Formato de resultados de seguridad de AWS (ASFF)*. Para obtener información detallada sobre este formato, incluidas las descripciones de los campos individuales de ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Si habilita la agregación entre regiones, el CSPM de Security Hub también consolida automáticamente los resultados nuevos y actualizados provenientes de todas las regiones vinculadas en la región de agregación que especifique. Para obtener más información, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

Una vez creado un resultado, se puede actualizar de la siguiente manera:
+ Un proveedor de resultados puede usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub para actualizar información general sobre el resultado. Los proveedores de hallazgos solo pueden actualizar los hallazgos que hayan creado.
+ Un cliente puede usar la consola del CSPM de Security Hub o la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) de la API del CSPM de Security Hub para actualizar el estado de la investigación relacionada con un resultado. La operación `BatchUpdateFindings` también puede ser utilizada por un SIEM, sistemas de gestión de tickets, herramientas de administración de incidentes, SOAR u otras soluciones en nombre de un cliente.

Para reducir el ruido de resultados y optimizar el seguimiento y análisis de resultados individuales, el CSPM de Security Hub elimina automáticamente los resultados que no se han actualizado recientemente. El momento en el que el CSPM de Security Hub realiza esta eliminación depende de si el resultado está activo o archivado:
+ Un *resultado activo* es un resultado cuyo estado de registro (`RecordState`) es `ACTIVE`. El CSPM de Security Hub almacena los resultados activos durante 90 días. Si un resultado activo no se ha actualizado en 90 días, vence y el CSPM de Security Hub lo elimina de forma permanente.
+ Un resultado *archivado* es un resultado cuyo estado de registro (`RecordState`) es `ARCHIVED`. El CSPM de Security Hub almacena los resultados archivados durante 30 días. Si un resultado archivado no se ha actualizado en 30 días, vence y el CSPM de Security Hub lo elimina de forma permanente.

Para los resultados de control, es decir aquellos que el CSPM de Security Hub genera a partir de las comprobaciones de seguridad de los controles, el CSPM de Security Hub determina si un resultado ha caducado según el valor del campo `UpdatedAt` del resultado. Si ese valor corresponde a más de 90 días para un resultado activo, el CSPM de Security Hub lo elimina de forma permanente. Si ese valor corresponde a más de 30 días para un resultado archivado, el CSPM de Security Hub también lo elimina de forma permanente.

Para cualquier otro tipo de resultado, el CSPM de Security Hub determina si ha caducado basándose en los valores de los campos `ProcessedAt` y `UpdatedAt` del resultado. El CSPM de Security Hub compara estos valores y determina cuál es el más reciente. Si el valor más reciente corresponde a más de 90 días para un resultado activo, el CSPM de Security Hub lo elimina de forma permanente. Si el valor más reciente corresponde a más de 30 días para un resultado archivado, el CSPM de Security Hub lo elimina de forma permanente. Los proveedores de resultados pueden modificar el valor del campo `UpdatedAt` de uno o varios resultados mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub.

Para retener los resultados durante más tiempo, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

**Topics**
+ [BatchImportFindings para encontrar proveedores](finding-update-batchimportfindings.md)
+ [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md)
+ [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md)
+ [Filtrado de resultados en el CSPM de Security Hub](securityhub-findings-manage.md)
+ [Agrupación de resultados en el CSPM de Security Hub](finding-list-grouping.md)
+ [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md)
+ [Envío de resultados a una acción personalizada del CSPM de Security Hub](findings-custom-action.md)
+ [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md)

# BatchImportFindings para encontrar proveedores
<a name="finding-update-batchimportfindings"></a>

Los proveedores de resultados pueden usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para crear nuevos resultados en el CSPM de AWS Security Hub. También pueden usar esta operación para actualizar resultados que ellos mismos hayan creado. Los proveedores de resultados no pueden actualizar resultados que no hayan creado.

Los clientes SIEMs, la venta de entradas, el SOAR y otros tipos de herramientas deben utilizar esta [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operación para realizar actualizaciones relacionadas con su investigación de los hallazgos obtenidos al encontrar proveedores. Para obtener más información, consulte [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md).

Cuando Security Hub CSPM recibe una `BatchImportFindings` solicitud para crear o actualizar un hallazgo, genera automáticamente un **Security Hub Findings - Imported**evento en Amazon. EventBridge Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

## Requisitos previos para utilizar `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` debe ser llamada por una de las siguientes opciones:
+ La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo `AwsAccountId` del resultado.
+ Una cuenta que figure en la lista de cuentas permitidas como integración oficial del CSPM de Security Hub.

El CSPM de Security Hub solo puede aceptar actualizaciones de resultados para cuentas que tengan habilitado el CSPM de Security Hub. El proveedor de hallazgos también debe estar habilitado. Si el CSPM de Security Hub está desactivado, o si la integración con el proveedor de resultados no está habilitada, los resultados se devuelven en la lista `FailedFindings` con un error `InvalidAccess`.

## Determinación de si se debe crear o actualizar un hallazgo
<a name="batchimportfindings-create-or-update"></a>

Para determinar si debe crear o actualizar un resultado, el CSPM de Security Hub revisa el campo `ID`. Si el valor de `ID` no coincide con un resultado existente, el CSPM de Security Hub crea un resultado nuevo.

Si `ID` coincide con un resultado existente, el CSPM de Security Hub verifica el campo `UpdatedAt` de la actualización y procede de la siguiente manera:
+ Si el valor de `UpdatedAt` en la actualización coincide con `UpdatedAt` o es anterior a este en el resultado existente, el CSPM de Security Hub ignora la solicitud de actualización.
+ Si el valor de `UpdatedAt` en la actualización es posterior a `UpdatedAt` en el resultado existente, el CSPM de Security Hub actualiza el resultado.

## Restricciones para la actualización de resultados con `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Los proveedores de resultados no pueden utilizar `BatchImportFindings` para actualizar los siguientes atributos de un resultado existente:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

El CSPM de Security Hub ignora cualquier contenido incluido en una solicitud de `BatchImportFindings` para estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar `BatchUpdateFindings` para actualizar estos atributos.

## Actualizar los resultados mediante FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

La búsqueda de proveedores tampoco debería servir `BatchImportFindings` para actualizar los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

En su lugar, los proveedores de resultados deben utilizar el objeto [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) para proporcionar valores para estos atributos.

**Ejemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

En el caso de las solicitudes `BatchImportFindings`, el CSPM de Security Hub maneja los valores de los atributos de nivel superior y los de [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) de la siguiente forma:

**(Opción preferida): `BatchImportFindings` proporciona un valor para un atributo en [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), pero no proporciona un valor para el atributo equivalente de nivel superior.**  
Por ejemplo, `BatchImportFindings` proporciona `FindingProviderFields.Confidence`, pero no proporciona `Confidence`. Esta es la opción preferida para las solicitudes `BatchImportFindings`.  
El CSPM de Security Hub actualiza el valor del atributo en `FindingProviderFields`.  
Replica el valor en el atributo de nivel superior solo si `BatchUpdateFindings` aún no actualizó el atributo.

**`BatchImportFindings` proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente `FindingProviderFields`.**  
Por ejemplo, `BatchImportFindings` proporciona `Confidence`, pero no proporciona `FindingProviderFields.Confidence`.  
El CSPM de Security Hub usa el valor para actualizar el atributo en `FindingProviderFields`. Sobrescribe cualquier valor existente.  
El CSPM de Security Hub actualiza el atributo de nivel superior solo si `BatchUpdateFindings` aún no ha actualizado el atributo.

**`BatchImportFindings` proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a `FindingProviderFields`.**  
Por ejemplo, `BatchImportFindings` proporciona tanto `Confidence` como `FindingProviderFields.Confidence`.  
Si se trata de un resultado nuevo, el CSPM de Security Hub utiliza el valor dentro de `FindingProviderFields` para rellenar tanto el atributo de nivel superior como el atributo correspondiente dentro de `FindingProviderFields`. No utiliza el valor de atributo de nivel superior proporcionado.  
En el caso de un resultado existente, el CSPM de Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si `BatchUpdateFindings` aún no ha actualizado el atributo.

# BatchUpdateFindings para clientes
<a name="finding-update-batchupdatefindings"></a>

AWS Los clientes de Security Hub CSPM y las entidades que actúen en su nombre pueden utilizar la [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operación para actualizar la información relacionada con el procesamiento de las conclusiones del CSPM de Security Hub a partir de la búsqueda de proveedores. Como cliente, puede usar esta operación directamente. Las herramientas de SIEM, sistemas de tickets, soluciones de administración de incidentes y plataformas SOAR también pueden usar esta operación en nombre del cliente.

No puede usar la operación `BatchUpdateFindings` para crear resultados nuevos. Sin embargo, puede utilizarla para actualizar hasta 100 resultados existentes a la vez. En una `BatchUpdateFindings` solicitud, se especifican las conclusiones que se van a actualizar, los campos del formato de comprobación de AWS seguridad (ASFF) que se van a actualizar para las conclusiones y los nuevos valores de los campos. El CSPM de Security Hub actualiza los resultados según lo especificado en la solicitud. Este proceso puede tardar varios minutos. Si actualiza resultados mediante la operación `BatchUpdateFindings`, las actualizaciones no afectan los valores existentes del campo `UpdatedAt` de los resultados.

Cuando Security Hub CSPM recibe una `BatchUpdateFindings` solicitud para actualizar un hallazgo, genera automáticamente un **Security Hub Findings – Imported**evento en Amazon. EventBridge Puede usar este evento para ejecutar acciones automáticas sobre el resultado especificado. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

## Campos disponibles para BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, puede usar `BatchUpdateFindings` para actualizar los resultados generados por la cuenta de administrador o por las cuentas de miembro. Las cuentas de miembro pueden utilizar `BatchUpdateFindings` para actualizar los resultados solo para su cuenta.

Los clientes pueden usar `BatchUpdateFindings` para actualizar los siguientes campos y objetos:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Configuración del acceso a BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

Puede configurar políticas AWS Identity and Access Management (IAM) para restringir el acceso y su uso `BatchUpdateFindings` para actualizar los campos de búsqueda y los valores de los campos.

En una declaración para restringir el acceso a `BatchUpdateFindings`, utilice los siguientes valores:
+ `Action` es `securityhub:BatchUpdateFindings`
+ `Effect` es `Deny`
+ Para `Condition`, puede denegar una solicitud `BatchUpdateFindings` en función de lo siguiente:
  + El resultado incluye un campo específico.
  + El resultado incluye un valor de campo específico.

### Claves de condición
<a name="batchupdatefindings-configure-access-context-keys"></a>

Estas son las claves de condición para restringir el acceso a `BatchUpdateFindings`.

**Campo de ASFF**  
La clave de condición de un campo de ASFF es la siguiente:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Sustituya `<fieldName>` por el campo de ASFF. Al configurar el acceso a `BatchUpdateFindings`, incluya uno o más campos de ASFF específicos en su política de IAM en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campo `Workflow.Status`, debe incluir ` securityhub:ASFFSyntaxPath/Workflow.Status` en su política en lugar del campo de nivel principal `Workflow`.

### Cómo no permitir todas las actualizaciones de un campo
<a name="batchupdatefindings-configure-access-block-field"></a>

Para evitar que un usuario actualice un campo específico, utilice una condición como esta:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Por ejemplo, la siguiente declaración indica que no se puede usar `BatchUpdateFindings` para actualizar el campo de resultados `Workflow.Status`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Cómo no permitir valores de campo específicos
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Por ejemplo, la siguiente declaración indica que no se puede usar `BatchUpdateFindings` para establecer `Workflow.Status` como `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

También puede proporcionar una lista de valores que no están permitidos.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Por ejemplo, la siguiente declaración indica que no se puede usar `BatchUpdateFindings` para establecer `Workflow.Status` como `RESOLVED` o `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Revisión de detalles e historial de resultados en el CSPM de Security Hub
<a name="securityhub-findings-viewing"></a>

En AWS Security Hub CSPM, un *hallazgo* es un registro observable de un control de seguridad o una detección relacionada con la seguridad. El CSPM de Security Hub genera un resultado cuando completa una comprobación de seguridad de un control o cuando ingiere un resultado proveniente de un Servicio de AWS o producto de terceros integrado. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial y otros detalles de resultados individuales en la consola del CSPM de Security Hub o mediante programación con la API del CSPM de Security Hub o la AWS CLI.

Para ayudar a agilizar el análisis, la consola del CSPM de Security Hub muestra un panel de resultado cuando selecciona un resultado específico. El panel incluye distintos menús y pestañas para revisar los detalles específicos de un resultado.

**Menús de acciones**  
Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. Un resultado puede tener solo una nota asociada a la vez. Este menú también ofrece opciones para [configurar el estado del flujo de trabajo de una búsqueda](findings-workflow-status.md) o [enviar una búsqueda a una acción personalizada](findings-custom-action.md) en Amazon EventBridge.

**Menú de investigación**  
Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades, como direcciones IP y AWS usuarios, de un hallazgo y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

**Pestaña Overview (Información general)**  
Esta pestaña ofrece un resumen del resultado. Por ejemplo, puede ver cuándo se creó y cuándo se actualizó por última vez, en qué cuenta existe y cuál es el origen del resultado. En el caso de los resultados de controles, esta pestaña también muestra el nombre de la regla de AWS Config asociada y un enlace a la guía de remediación en la documentación del CSPM de Security Hub.  
En la instantánea de **Recursos** en la pestaña **Descripción general**, puede obtener una vista breve de los recursos involucrados en el resultado. En el caso de algunos recursos, se incluye la opción **Abrir recurso**, que enlaza directamente con un recurso afectado en la Servicio de AWS consola correspondiente. La instantánea del **Historial** muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea muestra el cambio más reciente. Para revisar entradas anteriores, cambie a la pestaña **Historial**.  
La fila **Conformidad** se expande para mostrar más detalles. Por ejemplo, si un control incluye parámetros, puede revisar los valores del parámetro que el CSPM de Security Hub utiliza actualmente al realizar las comprobaciones de seguridad del control.

**Pestaña recursos**  
En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si has iniciado sesión en la cuenta propietaria de un recurso, puedes revisar el recurso en la Servicio de AWS consola correspondiente. Si no eres el propietario de un recurso, en esta pestaña se muestra el Cuenta de AWS ID del propietario.  
La fila **Detalles** muestra información específica del recurso en un resultado. Incluye la sección [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) del resultado en formato JSON.  
La fila **Etiquetas** muestra las claves y valores de etiquetas asignados a los recursos involucrados en un resultado. Los recursos que son [compatibles con la operación GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) de la API de etiquetado de Grupos de recursos de AWS se pueden etiquetar. El CSPM de Security Hub invoca esta operación mediante un [rol vinculado al servicio](using-service-linked-roles.md) cuando procesa resultados nuevos o actualizados, y recupera las etiquetas del recurso si el campo `Resource.Id` del Formato de resultados de seguridad de AWS (ASFF) contiene el ARN de un recurso. Security Hub CSPM ignora el recurso no válido. IDs Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte [Tags](asff-resources-attributes.md#asff-resources-tags).

**Pestaña de historial**  
Esta pestaña rastrea el historial de un resultado. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluidos los campos del ASFF que cambiaron, cuándo ocurrió el cambio y qué usuario lo realizó. Cada página de la pestaña muestra hasta 20 cambios. Los cambios más recientes se muestran primero.  
En el caso de resultados activos, el historial está disponible por hasta 90 días. En el caso de resultados archivados, el historial está disponible por hasta 30 días. El historial incluye los cambios realizados manualmente o de forma automática por las [reglas de automatización del CSPM de Security Hub](automation-rules.md). No incluye cambios en los campos de marcas de tiempo de nivel superior, como los campos `CreatedAt` y `UpdatedAt`.  
Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, el historial de resultados corresponde tanto a la cuenta de administrador como a todas las cuentas de miembro.

**Pestaña de amenazas**  
Esta pestaña incluye datos de los objetos [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) y [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Por lo general, estos detalles se aplican a los hallazgos que se originan en Amazon GuardDuty.

**Pestaña de vulnerabilidades**  
Esta pestaña muestra los datos del objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Estos detalles también se aplican por lo general a resultados que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción para copiar o filtrar. Por ejemplo, si abre el panel de un resultado cuyo estado de flujo de trabajo es **Notificado**, puede elegir la opción de filtrado junto a **Estado del flujo de trabajo**. Si selecciona **Mostrar todos los resultados con este valor**, el CSPM de Security Hub filtra la tabla de resultados y muestra únicamente aquellos que tienen el mismo estado de flujo de trabajo.

## Revisión de los detalles y el historial de resultados
<a name="finding-view-details-console"></a>

Elija el método que prefiera y siga los pasos para revisar los detalles de los resultados en el CSPM de Security Hub.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

------
#### [ Security Hub CSPM console ]

**Revisión de los detalles y el historial de resultados**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para mostrar una lista de resultado, realice una de las acciones siguientes:
   + En el panel de navegación, seleccione **Resultados**. Agregue los filtros de búsqueda según sea necesario para acotar la lista de resultados.
   + En el panel de navegación, elija **Insights**. Elija una información. En la lista de resultados, seleccione un resultado de producto de información.
   + En el panel de navegación, elija **Integraciones**. Seleccione **Ver los resultados** de una integración.
   + En el panel de navegación, elija **Controles**.

1. Seleccione un resultado. El panel del resultado muestra todos los detalles correspondientes.

1. En ese panel, puede realizar cualquiera de las siguientes acciones:
   + Revisar detalles específicos del resultado. Para ello, seleccione una pestaña.
   + Tomar medidas con respecto al resultado. Para ello, seleccione una opción del menú **Acciones**.
   + Investigar el resultado en Amazon Detective. Para ello, sleccione la opción **Investigar**.

**nota**  
Si te integras con una cuenta de miembro AWS Organizations y has iniciado sesión en ella, el panel de búsqueda incluirá el nombre de la cuenta. En cambio, para cuentas de miembro invitadas manualmente (en lugar de pertenecer a Organizations), el panel muestra únicamente el ID de la cuenta.

------
#### [ Security Hub CSPM API ]

Utilice la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operación de la API CSPM de Security Hub o, si está utilizando la AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)comando. Puede proporcionar uno o varios valores para el parámetro `Filters` con el fin de limitar los resultados que desea obtener.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro `MaxResults` para limitar los resultados a un número específico y el parámetro `NextToken` para paginar los resultados. Use el parámetro `SortCriteria` para ordenar los resultados por un campo específico.

Por ejemplo, el siguiente AWS CLI comando recupera los resultados que coinciden con los criterios de filtro especificados y ordena los resultados en orden descendente por campo. `LastObservedAt` Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Para revisar el historial de resultados, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html). Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)comando. Identifique el resultado del que desea obtener un historial con los campos `ProductArn` y `Id`. Para obtener información acerca de estos campos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Cada solicitud puede recuperar el historial de un único resultado.

Por ejemplo, el siguiente AWS CLI comando recupera el historial del hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Utilice el cmdlet `Get-SHUBFinding`. De manera opcional, puede completar el parámetro `Filter` para acotar los resultados que desea recuperar.

Por ejemplo, el siguiente cmdlet recupera los resultados que coinciden con los filtros especificados.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**nota**  
Si filtra los resultados por `CompanyName` o por `ProductName`, el CSPM de Security Hub usa los valores que forman parte del objeto ASFF de `ProductFields`. El CSPM de Security Hub no usa los campos de nivel superior `CompanyName` y `ProductName`.

# Filtrado de resultados en el CSPM de Security Hub
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM genera sus propios hallazgos a partir de los controles de seguridad y recibe los hallazgos de los productos integrados. Puede mostrar una lista de resultados en las páginas **Resultados**, **Integraciones** e **Productos de información** de la consola del CSPM de Security Hub. Puede agregar filtros para acotar una lista de resultados y hacer que sea relevante para la organización o caso de uso.

Para obtener información sobre cómo filtrar resultados de un control de seguridad específico, consulte [Filtrado y clasificación de resultados de control](control-finding-list.md). La información de esta página se aplica a las páginas **Resultados**, **Productos de información** e **Integraciones**.

## Filtros predeterminados en las listas de resultados
<a name="finding-list-default-filters"></a>

De forma predeterminada, las listas de resultados en la consola del CSPM de Security Hub se filtran según los campos `RecordState` y `Workflow.Status` del formato de resultados de seguridad de AWS (ASFF). Esto se suma a los filtros aplicados a un producto de información específico o a una integración.

El estado de registro indica si el resultado está activo o archivado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos activos. Un proveedor de resultados puede archivar un resultado si ya no está activo o no es importante. El CSPM de Security Hub también archiva automáticamente los resultados de controles si se elimina el recurso asociado.

El estado de flujo de trabajo indica el estado de una investigación sobre un resultado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos con estado de flujo de trabajo `NEW` o `NOTIFIED`. Puede actualizar el estado de flujo de trabajo de un resultado.

## Instrucciones para agregar filtros
<a name="finding-list-filters"></a>

Puede filtrar una lista de resultados por hasta diez atributos. Para cada atributo, puede proporcionar hasta 20 valores de filtro.

Al filtrar la lista de resultados, el CSPM de Security Hub aplica la lógica `AND` al conjunto de filtros. Un resultado coincide únicamente si cumple todos los filtros proporcionados. Por ejemplo, si agrega GuardDuty un filtro para el **nombre del producto** y `AwsS3Bucket` un filtro para el **tipo de recurso**, Security Hub CSPM mostrará los resultados que coincidan con estos dos criterios.

El CSPM de Security Hub aplica la lógica `OR` a los filtros que usan el mismo atributo pero valores diferentes. Por ejemplo, si añade Amazon Inspector como valores de filtro para el **nombre del producto**, Security Hub CSPM mostrará las conclusiones generadas por Amazon Inspector GuardDuty o por cualquiera de ellas. GuardDuty 

**Para agregar filtros a una lista de resultados (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para mostrar una lista de resultados, realice una de las siguientes acciones desde el panel de navegación:
   + Elija **Resultados**.
   + Elija **Información**. Elija una información. A continuación, en la lista de resultados, seleccione un producto de información.
   + Seleccione **Integraciones**. Seleccione **Ver los resultados** de una integración.

1. En el cuadro **Agregar filtros**, seleccione uno o más campos por los cuales filtrar.

   Al filtrar por nombre de **empresa o nombre** de **producto**, la consola utiliza el nivel superior `CompanyName` y los `ProductName` campos del formato de búsqueda de AWS seguridad (ASFF). La API usa los valores que están anidados bajo `ProductFields`.

1. Elija el tipo de coincidencia de filtro.

   Para un filtro de tipo cadena, puede elegir entre las siguientes opciones:
   + **es**: busca un valor que coincida exactamente con el valor del filtro.
   + **empieza por**: busca un valor que empiece por el valor del filtro.
   + **no es**: busca un valor que no coincida con el valor del filtro.
   + **no empieza por**: busca un valor que no empiece por el valor del filtro.

   En el campo **Etiquetas de recurso**, puede filtrar según claves o valores específicos.

   Para un filtro numérico, puede elegir si desea proporcionar un solo número (**Simple**) o un rango de números (**Range**).

   Para un filtro de fecha y hora, puede elegir si desea proporcionar un período de tiempo a partir de la fecha y hora actuales (**Rolling window**) o de un intervalo de fechas específico (**Fixed range**).

   La adición de varios filtros tiene las siguientes interacciones:
   + Los filtros **es** y **empieza por** van unidos por O. Un valor coincide si contiene alguno de los valores del filtro. Por ejemplo, si especifica que la **Etiqueta de gravedad es CRÍTICA** y la **Etiqueta de gravedad es ALTA**, los resultados incluyen tanto los resultados de gravedad crítica como de gravedad alta.
   + Los filtros **no es** y **no empieza por** van unidos por AND. Un valor solo coincide si no contiene ninguno de esos valores de filtro. Por ejemplo, si especifica que la **Etiqueta de gravedad no es BAJA** y la **Etiqueta de gravedad no es MEDIA**, los resultados no incluyen los resultados de gravedad baja o media.

   Si tiene un filtro **es** en un campo, no puede tener un filtro **no es** o **no empieza por** en el mismo campo.

1. Especifique el valor del filtro. Para los filtros de cadena, el valor del filtro distingue entre mayúsculas y minúsculas.

1. Seleccione **Aplicar**.

   Para un filtro existente, puede cambiar el tipo de coincidencia o el valor del filtro. En una lista de resultados filtrada, elija el filtro. En el cuadro **Editar filtro**, seleccione el nuevo tipo de coincidencia o valor y, luego, elija **Aplicar**.

   Para quitar un filtro, elija el icono **x**. La lista se actualiza automáticamente para reflejar el cambio.

# Agrupación de resultados en el CSPM de Security Hub
<a name="finding-list-grouping"></a>

Puede agrupar las conclusiones en AWS Security Hub CSPM en función de los valores de un atributo seleccionado.

Al agrupar los resultados, la lista de resultados se reemplaza por una lista de valores para el atributo seleccionado en los resultados coincidentes. Para cada valor, la lista muestra la cantidad de resultados coincidentes.

Por ejemplo, si agrupa los hallazgos por Cuenta de AWS ID, verá una lista de identificadores de cuenta con el número de hallazgos coincidentes de cada cuenta.

El CSPM de Security Hub puede mostrar hasta 100 valores para un atributo seleccionado. Si hay más de 100 valores, solo verá los primeros 100.

Cuando elige un valor de atributo, el CSPM de Security Hub muestra la lista de resultados coincidentes para ese valor.

**Para agrupar los resultados en una lista de resultados (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para mostrar una lista de resultados, realice una de las siguientes acciones desde el panel de navegación:
   + Elija **Resultados**.
   + Elija **Información**. Elija una información. A continuación, en la lista de resultados, seleccione un producto de información.
   + Seleccione **Integraciones**. Seleccione **Ver los resultados** de una integración.

1. En la lista desplegable **Agrupar por**, elija el atributo que desea utilizar para la agrupación.

   Para eliminar un atributo de agrupación, elija el icono **x**. Cuando elimina el atributo de agrupación, la lista deja de mostrar los valores del atributo y pasa a mostrar una lista de resultados.

# Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub
<a name="findings-workflow-status"></a>

El estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un resultado. El estado del flujo de trabajo es específico de un resultado individual y no afecta la generación de nuevos resultados. Por ejemplo, si cambia el estado del flujo de trabajo de un resultado a `SUPPRESSED` o `RESOLVED`, ese cambio no impide que el CSPM de Security Hub genere un nuevo resultado para el mismo problema.

El estado del flujo de trabajo de un resultado puede tener uno de los siguientes valores.

**NUEVO**  
Es el estado inicial de un resultado antes de revisarlo.  
Los hallazgos que se obtienen de forma integrada Servicios de AWS, por ejemplo AWS Config, tienen `NEW` como estado inicial.  
El CSPM de Security Hub también restablece el estado del flujo de trabajo de `NOTIFIED` o `RESOLVED` a `NEW` en los siguientes casos:  
+ `RecordState` cambia de `ARCHIVED` a `ACTIVE`.
+ `Compliance.Status` cambia de `PASSED` a `FAILED`, `WARNING` o `NOT_AVAILABLE`.
Estos cambios implican que es necesaria una investigación adicional.

**NOTIFICADO**  
Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.  
Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente de `NOTIFIED` a `NEW`:  
+ `RecordState` cambia de `ARCHIVED` a `ACTIVE`.
+ `Compliance.Status` cambia de `PASSED` a `FAILED`, `WARNING` o `NOT_AVAILABLE`.

**SUPRIMIDO**  
Indica que ha revisado el resultado y no cree que sea necesario realizar ninguna acción.  
El estado del flujo de trabajo de un resultado del tipo `SUPPRESSED` no cambia si `RecordState` cambia de `ARCHIVED` a `ACTIVE`.

**RESUELTO**  
El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.  
El resultado permanece como `RESOLVED` a menos que se produzca alguna de las siguientes situaciones:  
+ `RecordState` cambia de `ARCHIVED` a `ACTIVE`.
+ `Compliance.Status` cambia de `PASSED` a `FAILED`, `WARNING` o `NOT_AVAILABLE`.
En esos casos, el estado del flujo de trabajo se restablece automáticamente a `NEW`.  
Para los resultados provenientes de controles, si `Compliance.Status` es `PASSED`, el CSPM de Security Hub establece automáticamente el estado del flujo de trabajo en `RESOLVED`.

## Configuración del estado de flujo de trabajo de los resultados
<a name="setting-workflow-status"></a>

Para cambiar el estado del flujo de trabajo de uno o varios resultados, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub. Si cambia el estado del flujo de trabajo de un resultado, tenga en cuenta que el CSPM de Security Hub puede tardar varios minutos en procesar la solicitud y actualizar el resultado.

**sugerencia**  
También puede cambiar automáticamente el estado del flujo de trabajo de los resultados mediante reglas de automatización. Con las reglas de automatización, configura el CSPM de Security Hub para actualizar automáticamente el estado del flujo de trabajo de los resultados según los criterios que especifique. Para obtener más información, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Para cambiar el estado del flujo de trabajo de uno o varios resultados, elija el método que prefiera y siga los pasos.

------
#### [ Security Hub CSPM console ]

**Para cambiar el estado del flujo de trabajo de los resultados**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, realice una de las siguientes acciones para mostrar una tabla de resultados:
   + Elija **Resultados**.
   + Elija **Información**. Luego, elija un producto de información. En la salida del producto de información, elija una de las salidas.
   + Seleccione **Integraciones**. Luego, en la sección de la integración, elija **Ver resultados**.
   + Elija **Estándares de seguridad**. Luego, en la sección del estándar, seleccione **Ver salidas**. En la tabla de controles, elija un control para mostrar los resultados correspondientes a ese control.

1. En la tabla de resultados, seleccione la casilla de cada resultado cuyo estado del flujo de trabajo desea cambiar.

1. En la parte superior de la página, elija **Estado del flujo de trabajo** y, después, elija el nuevo estado del flujo de trabajo para los resultados seleccionados.

1. En el cuadro de diálogo **Establecer estado del flujo de trabajo**, puede ingresar una nota que describa el motivo del cambio del estado del flujo de trabajo. Luego, elija **Establecer estado**.

------
#### [ Security Hub CSPM API ]

Utilice la operación [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles mediante la [GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)operación.

------
#### [ AWS CLI ]

Ejecute el comando [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html). Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles mediante la ejecución del comando [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html).

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**Ejemplo**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Envío de resultados a una acción personalizada del CSPM de Security Hub
<a name="findings-custom-action"></a>

Puede crear acciones personalizadas AWS de Security Hub CSPM para automatizar el Security Hub CSPM con Amazon. EventBridge Para las acciones personalizadas, el tipo de evento es **Security Hub Findings - Custom Action**. Después de configurar una acción personalizada, puede enviarle hallazgos. Para obtener más información y pasos detallados sobre cómo crear acciones personalizadas, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

**Cómo enviar resultados a una acción personalizada (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para mostrar una lista de resultado, realice una de las acciones siguientes:
   + En el panel de navegación del CSPM de Security Hub, elija **Resultados**.
   + En el panel de navegación del CSPM de Security Hub, elija **Productos de información**. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.
   + En el panel de navegación del CSPM de Security Hub, seleccione **Integraciones**. Seleccione **Ver los resultados** de una integración.
   + En el panel de navegación del CSPM de Security Hub, elija **Estándares de seguridad**. Seleccione **Ver resultados** para ver una lista de controles. A continuación, elija el nombre del control.

1. En la lista de resultados, seleccione la casilla de verificación de cada resultado que desee enviar a la acción personalizada.

   Puede seleccionar hasta 20 hallazgos a la vez.

1. En **Acciones**, elija la acción personalizada.

# AWS Formato de búsqueda de seguridad (ASFF)
<a name="securityhub-findings-format"></a>

AWS Security Hub CSPM consume y agrega los hallazgos de productos integrados Servicios de AWS y de terceros. El CSPM de Security Hub procesa estos resultados mediante un formato estándar de resultados denominado *Formato de resultados de seguridad de AWS (ASFF)*, lo que elimina la necesidad de llevar a cabo esfuerzos de conversión de datos que consumen mucho tiempo.

Esta página proporciona un resumen completo del JSON para una búsqueda en el formato de búsqueda de AWS seguridad (ASFF). El formato se deriva del [esquema JSON](https://json-schema.org/). Elija el nombre de un objeto vinculado para revisar un ejemplo de un resultado para ese objeto. Comparar los resultados del CSPM de Security Hub con los recursos y ejemplos que se muestran aquí puede ser útil a la hora de interpretar los resultados.

Para obtener descripciones de los atributos individuales del formato ASFF, consulte [Atributos de nivel superior necesarios del ASFF](asff-required-attributes.md) y [Atributos de nivel superior opcionales del ASFF](asff-top-level-attributes.md).

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# Impacto de la consolidación en los campos y valores ASFF
<a name="asff-changes-consolidation"></a>

AWS Security Hub CSPM ofrece dos tipos de consolidación de controles:
+ **Vista consolidada de controles**: con este tipo de consolidación, cada control usa un único identificador para todos los estándares. Además, en la consola del CSPM de Security Hub, la página **Controles** muestra todos los controles de todos los estándares. 
+ **Resultados consolidados de controles**: con este tipo de consolidación, el CSPM de Security Hub genera un único resultado para un control, incluso si dicho control se aplica a varios estándares habilitados. Esto puede reducir el ruido de los resultados. 

No es posible habilitar o desactivar la vista de controles consolidados. Los resultados consolidados de controles se habilitan de manera predeterminada si habilitó el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha. De lo contrario, permanecen desactivados de manera predeterminada. Sin embargo, en Organizations, los resultados consolidados de controles solo se habilitan para las cuentas de miembro del CSPM de Security Hub si primero están habilitados para la cuenta administradora. Para obtener más información sobre los resultados consolidados de controles, consulte [Generación y actualización de los resultados de control](controls-findings-create-update.md).

Ambos tipos de consolidación afectan los campos y valores de los resultados de controles en el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

**Topics**
+ [Vista de controles consolidada: cambios en ASFF](#securityhub-findings-format-consolidated-controls-view)
+ [Resultados de control consolidados: cambios en ASFF](#securityhub-findings-format-consolidated-control-findings)
+ [Generador antes y después que permite obtener resultados de IDs control consolidados](#securityhub-findings-format-changes-generator-ids)
+ [Cómo afecta la consolidación al control IDs y a los títulos](#securityhub-findings-format-changes-ids-titles)
+ [Actualización de los flujos de trabajo para la consolidación](#securityhub-findings-format-changes-prepare)

## Vista de controles consolidada: cambios en ASFF
<a name="securityhub-findings-format-consolidated-controls-view"></a>

La característica de vista consolidada de controles introdujo los siguientes cambios en los campos y valores de los resultados de controles en el formato ASFF. Si los flujos de trabajo no dependen de los valores de estos campos del formato ASFF, no se requiere ninguna acción. Si los flujos de trabajo sí dependen de valores específicos en estos campos, actualice los flujos de trabajo para usar los valores actuales.


| Campo de ASFF  | Valor de muestra antes de la vista de controles consolidados  | Valor de ejemplo después de la vista consolidada de controles y una descripción del cambio  | 
| --- | --- | --- | 
|  Cumplimiento. SecurityControlId  |  No aplicable (campo nuevo)  |  EC2.2 Introduzca un único identificador de control en todos los estándares. `ProductFields.RuleId` sigue proporcionando el identificador de control estándar para los controles CIS v1.2.0. `ProductFields.ControlId` sigue proporcionando el identificador de control basado en estándares para los controles de otros estándares.  | 
|  Cumplimiento. AssociatedStandards  |  No aplicable (campo nuevo)  |  [\$1» StandardsId «:" standards/aws-foundational-security-best-practices/v /1.0.0 «\$1] Muestra en qué estándares está activado un control.  | 
|  ProductFields. ArchivalReasons. ----SEP----:0/Descripción  |  No aplicable (campo nuevo)  |  “El resultado se encuentra ARCHIVADO porque los resultados del control consolidado se han activado o desactivado. Esto hace que los resultados del estado anterior se archiven cuando se generen nuevos resultados”. Describe por qué el CSPM de Security Hub ha archivado resultados existentes.  | 
|  ProductFields. ArchivalReasons. ----sep----:0/ ReasonCode  |  No aplicable (campo nuevo)  |  “CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE” Proporciona el motivo por el cual el CSPM de Security Hub ha archivado resultados existentes.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Este campo ya no hace referencia a un estándar.  | 
|  Remediation.Recommendation.Text  |  «Para obtener instrucciones sobre cómo solucionar este problema, consulte la documentación del AWS Security Hub CSPM PCI DSS».  |  «Para obtener instrucciones sobre cómo corregir este problema, consulte la documentación de controles CSPM de AWS Security Hub». Este campo ya no hace referencia a un estándar.  | 
|  Remediation.Recommendation.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Este campo ya no hace referencia a un estándar.  | 

## Resultados de control consolidados: cambios en ASFF
<a name="securityhub-findings-format-consolidated-control-findings"></a>

Si habilita los resultados de controles consolidados, podría verse afectado por los siguientes cambios en los campos y valores de los resultados de controles en el formato ASFF. Estos cambios se suman a los cambios introducidos por la característica de vista consolidada de controles. Si los flujos de trabajo no dependen de los valores de estos campos del formato ASFF, no se requiere ninguna acción. Si los flujos de trabajo sí dependen de valores específicos en estos campos, actualice los flujos de trabajo para usar los valores actuales.

**sugerencia**  
Si utiliza la solución [Automated Security Response en la AWS versión 2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tenga en cuenta que respalda los resultados de control consolidados. Esto significa que puede mantener los flujos de trabajo actuales si habilita los resultados de controles consolidados. 


| Campo de ASFF  | Valor de ejemplo antes de habilitar los resultados consolidados de controles  | Valor de ejemplo después de habilitar los resultados consolidados de controles y una descripción del cambio.  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best- 1. practices/v/1.0.0/Config  |  security-control/Config.1 Este campo ya no hace referencia a un estándar.  | 
|  Title  |  PCI.config.1 debe estar activado AWS Config  |  AWS Config debe estar activado Este campo ya no hace referencia a información específica del estándar.  | 
|  Id  |  arn:aws:securityhub:eu-central- 1:123456789012:6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab  |  arn:aws:securityhub: eu-central - 1:123456789012: security - 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Este campo ya no hace referencia a un estándar.  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Eliminado. En su lugar, consulte `Compliance.SecurityControlId`. Este campo se ha eliminado en favor de un único identificador de control independiente del estándar.  | 
|  ProductFields.RuleId  |  1.3  |  Eliminado. En su lugar, consulte `Compliance.SecurityControlId`. Este campo se ha eliminado en favor de un único identificador de control independiente del estándar.  | 
|  Description (Descripción)  |  Este control PCI DSS comprueba si está activado en la cuenta corriente y en la región. AWS Config  |  Este AWS control comprueba si AWS Config está activado en la cuenta corriente y la región.Este campo ya no hace referencia a un estándar.  | 
|  Gravedad  |  “Severity”: \$1 “Product”: 90, “Label”: “CRÍTICO”, “Normalized”: 90, “Original”: “CRÍTICO” \$1  |  “Severity”: \$1 “Label”: “CRÍTICO”, “Normalized”: 90, “Original”: “CRÍTICO” \$1 El CSPM de Security Hub ya no usa el campo Producto para describir la gravedad de un resultado.  | 
|  Tipos  |  ["Software, configuración Checks/Industry y normas reglamentarias/PCI-DSS"]  |  ["Software, configuración y normas reglamentarias"] Checks/Industry Este campo ya no hace referencia a un estándar.  | 
|  Conformidad. RelatedRequirements  |  [“PCI DSS 10.5.2”, “PCI DSS 11.5”, « AWS Fundamentos de la CEI 2.5"]  |  [“PCI DSS v3.2.1/10.5.2”, “PCI DSS v3.2.1/11.5”, «Índice de referencia sobre AWS fundaciones de la CEI [v1.2.0/2.5"] Este campo muestra los requisitos relacionados en todos los estándares habilitados.  | 
|  CreatedAt  |  2022-05-05T08:18:13.138Z  |  2022-09-25T08:18:13.138Z El formato permanece igual, pero el valor se restablece cuando habilita los resultados consolidados de controles.  | 
|  FirstObservedAt  |  2022-05-07T08:18:13.138Z  | 2022-09-28T08:18:13.138Z El formato permanece igual, pero el valor se restablece cuando habilita los resultados consolidados de controles.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Eliminado. En su lugar, consulte `Remediation.Recommendation.Url`. | 
|  ProductFields.StandardsArn  |  standards/aws-foundational-security-best-practices/varn:aws:securityhub::: /1.0.0  |  Eliminado. En su lugar, consulte `Compliance.AssociatedStandards`.  | 
|  ProductFields.StandardsControlArn  |  arn:aws:securityhub:us-east- 1:123456789012:1control/aws-foundational-security-best-practices/v/1.0.0/Config.  |  Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares.  | 
|  ProductFields.StandardsGuideArn  |  arn:aws:securityhub::: /1.2.0 ruleset/cis-aws-foundations-benchmark/v  |  Eliminado. En su lugar, consulte `Compliance.AssociatedStandards`.  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn:aws:securityhub:us-east- 2:123456789012: /1.2.0 subscription/cis-aws-foundations-benchmark/v  |  Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares.  | 
|  ProductFields.StandardsSubscriptionArn  |  arn:aws:securityhub:us-east- 1:123456789012: /1.0.0 subscription/aws-foundational-security-best-practices/v  |  Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares.  | 
|  ProductFields.aws/securityhub/FindingId  |  arn:aws:securityhub:us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding  |  arn:aws:securityhub: us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding  Este campo ya no hace referencia a un estándar.  | 

### Valores para los campos del ASFF proporcionados por el cliente tras activar los resultados de control consolidados
<a name="consolidated-controls-view-customer-provided-values"></a>

Si habilita los resultados consolidados de controles, el CSPM de Security Hub genera un único resultado aplicable a varios estándares y archiva los resultados originales (resultados separados para cada estándar).

Las actualizaciones que hizo a los resultados originales mediante la consola del CSPM de Security Hub o mediante la operación [https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html) no se conservarán en los nuevos resultados. Si es necesario, puede recuperar estos datos al consultar los resultados archivados. Para revisar los resultados archivados, puede abrir la página **Resultados** en la consola del CSPM de Security Hub y aplicar el filtro **Estado del registro** para elegir **ARCHIVADO**. También puede usar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) en la API del CSPM de Security Hub.


| Campo de ASFF proporcionado por el cliente  | Descripción del cambio después de habilitar los resultados consolidados de controles  | 
| --- | --- | 
|  Confianza  |  Se restablece al estado vacío.  | 
|  Criticidad  |  Se restablece al estado vacío.  | 
|  Nota  |  Se restablece al estado vacío.  | 
|  RelatedFindings  |  Se restablece al estado vacío.  | 
|  Gravedad  |  Gravedad predeterminada del resultado (coincide con la gravedad del control).  | 
|  Tipos  |  Se restablece a un valor independiente del estándar.  | 
|  UserDefinedFields  |  Se restablece al estado vacío.  | 
|  VerificationState  |  Se restablece al estado vacío.  | 
|  Flujo de trabajo  |  Los nuevos resultados fallidos tienen un valor predeterminado de NEW. Los nuevos resultados aprobados tienen un valor predeterminado de RESOLVED.  | 

## Generador antes y después que permite obtener resultados de IDs control consolidados
<a name="securityhub-findings-format-changes-generator-ids"></a>

En la siguiente tabla, se enumeran los cambios en los valores de identificador de generador para los controles cuando habilita los resultados consolidados de controles. Estos cambios se aplican a los controles que el CSPM de Security Hub admitía al 15 de febrero de 2023.


| Identificador de generador antes de habilitar los resultados consolidados de controles | Identificador de generador después de habilitar los resultados consolidados de controles | 
| --- | --- | 
|  arn:aws:securityhub::: /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  control de seguridad/ CloudWatch .1  | 
|  arn:aws:securityhub::: /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.16  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.11  |  security-control/IAM.17  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.12  |  security-control/IAM.4  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.13  |  security-control/IAM.9  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.14  |  security-control/IAM.6  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.16  |  security-control/IAM.2  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.2  |  security-control/IAM.5  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.20  |  security-control/IAM.18  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.22  |  security-control/IAM.1  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.3  |  security-control/IAM.8  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.4  |  security-control/IAM.3  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.5  |  security-control/IAM.11  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.6  |  security-control/IAM.12  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.7  |  security-control/IAM.13  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.8  |  security-control/IAM.14  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /1.9  |  security-control/IAM.15  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /2.1  |  control de seguridad/ CloudTrail .1  | 
|  arn:aws:securityhub::: /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 4CloudTrail.  | 
|  arn:aws:securityhub::: /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 6CloudTrail.  | 
|  arn:aws:securityhub::: /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 5CloudTrail.  | 
|  arn:aws:securityhub::: /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/Config.1  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /2.6  |  segurity-control/ 7CloudTrail.  | 
|  arn:aws:securityhub::: /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 2CloudTrail.  | 
|  arn:aws:securityhub::: /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/KMS.4  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /2.9  |  security-control/EC2.6  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /3.1  |  segurity-control/ 2CloudWatch.  | 
|  arn:aws:securityhub::: /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  control-seguridad/ 3CloudWatch.  | 
|  arn:aws:securityhub::: /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  control de seguridad/ 1CloudWatch.  | 
|  arn:aws:securityhub::: /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 4CloudWatch.  | 
|  arn:aws:securityhub::: /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 5CloudWatch.  | 
|  arn:aws:securityhub::: /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 6CloudWatch.  | 
|  arn:aws:securityhub::: /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 7CloudWatch.  | 
|  arn:aws:securityhub::: /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ CloudWatch .8  | 
|  arn:aws:securityhub::: /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ 9CloudWatch.  | 
|  arn:aws:securityhub::: /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/ CloudWatch .10  | 
|  arn:aws:securityhub::: /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ CloudWatch 1.1  | 
|  arn:aws:securityhub::: /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ CloudWatch .12  | 
|  arn:aws:securityhub::: /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ CloudWatch .13  | 
|  arn:aws:securityhub::: /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  segurity-control/ CloudWatch .14  | 
|  arn:aws:securityhub::: /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/EC2.13  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /4.2  |  security-control/EC2.14  | 
|  arn:aws:securityhub::: ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule /4.3  |  security-control/EC2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.10  |  security-control/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,14  |  security-control/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,16  |  security-control/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,17  |  security-control/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  security-control/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.5  |  security-control/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  security-control/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.7  |  control de seguridad/ .1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.8  |  security-control/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.9  |  security-control/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  security-control/S3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  security-control/S3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  security-control/S3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  security-control/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  security-control/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  control de seguridad/ .1 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  control de seguridad/ 4CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  control de seguridad/ 5. CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.5  |  security-control/Config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  security-control/S3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  control de seguridad/ .2 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  security-control/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  security-control/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  control de seguridad/ .1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.4  |  control de seguridad/ 4CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  control de seguridad/ 5. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  control de seguridad/ 6. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  control de seguridad/ 7. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  control de seguridad/ .8 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  control de seguridad/ .9 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.10  |  control de seguridad/ .10 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.11  |  control de seguridad/ 1.1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.12  |  control de seguridad/ 1.2 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.13  |  control de seguridad/ 1.3 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.14  |  control de seguridad/ .14 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  security-control/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  security-control/EC2.2  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Account  |  security-control/Account.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ACM 1.  |  security-control/ACM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway 1.  |  control de seguridad/ .1 APIGateway  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/APIGateway.  |  control de seguridad/ .2 APIGateway  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/APIGateway.  |  control de seguridad/ 3APIGateway.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/APIGateway.  |  control de seguridad/ .4APIGateway.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/APIGateway.  |  control de seguridad/ .5 APIGateway  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/APIGateway.  |  control de seguridad/ .8 APIGateway  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/APIGateway.  |  control de seguridad/ .9 APIGateway  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/AutoScaling.  |  control de seguridad/ .1 AutoScaling  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/AutoScaling.  |  control de seguridad/ .2 AutoScaling  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/AutoScaling.  |  control de seguridad/ 3AutoScaling.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Autoscaling.  |  security-control/Autoscaling.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/AutoScaling.  |  control de seguridad/ .6 AutoScaling  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/AutoScaling.  |  control de seguridad/ .9 AutoScaling  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudFront.  |  control de seguridad/ .1 CloudFront  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/CloudFront.  |  control de seguridad/ 3CloudFront.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudFront.  |  control de seguridad/ .4CloudFront.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudFront.  |  control de seguridad/ .5 CloudFront  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/CloudFront.  |  control de seguridad/ .6 CloudFront  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/CloudFront.  |  control de seguridad/ .7CloudFront.  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/CloudFront.  |  control de seguridad/ .8 CloudFront  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/CloudFront.  |  control de seguridad/ .9 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1.0  |  control de seguridad/ .10 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1.2  |  control de seguridad/ .12 CloudFront  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudTrail.  |  control de seguridad/ .1 CloudTrail  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CloudTrail.  |  control de seguridad/ .2 CloudTrail  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudTrail.  |  control de seguridad/ .4CloudTrail.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudTrail.  |  control de seguridad/ .5 CloudTrail  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CodeBuild.  |  control de seguridad/ .1 CodeBuild  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CodeBuild.  |  control de seguridad/ .2 CodeBuild  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/CodeBuild.  |  control de seguridad/ 3CodeBuild.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CodeBuild.  |  control de seguridad/ .4CodeBuild.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Config.  |  security-control/Config.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DMS 1.  |  security-control/DMS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB 1.  |  security-control/DynamoDB.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB 2.  |  security-control/DynamoDB.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB 3.  |  security-control/DynamoDB.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.1  |  security-control/EC2.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.3  |  security-control/EC2.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.4  |  security-control/EC2.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.6  |  security-control/EC2.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.7  |  security-control/EC2.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.8  |  security-control/EC2.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.9  |  security-control/EC2.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.10  |  security-control/EC2.10  | 
|  aws-foundational-security-best- 2.15 practices/v/1.0.0/EC  |  security-control/EC2.15  | 
|  aws-foundational-security-best- 2.16 practices/v/1.0.0/EC  |  security-control/EC2.16  | 
|  aws-foundational-security-best- 2.17 practices/v/1.0.0/EC  |  security-control/EC2.17  | 
|  aws-foundational-security-best- 2.18 practices/v/1.0.0/EC  |  security-control/EC2.18  | 
|  aws-foundational-security-best- 2.19 practices/v/1.0.0/EC  |  security-control/EC2.19  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/EC  |  security-control/EC2.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,20  |  security-control/EC2.20  | 
|  aws-foundational-security-best- 2.21 practices/v/1.0.0/EC  |  security-control/EC2.21  | 
|  aws-foundational-security-best- 2.23 practices/v/1.0.0/EC  |  security-control/EC2.23  | 
|  aws-foundational-security-best- 2.24 practices/v/1.0.0/EC  |  security-control/EC2.24  | 
|  aws-foundational-security-best- 2.25 practices/v/1.0.0/EC  |  security-control/EC2.25  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ECR.  |  security-control/ECR.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECR 2.  |  security-control/ECR.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECR 3.  |  security-control/ECR.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS 1.  |  security-control/ECS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS 1.0  |  security-control/ECS.10  | 
|  aws-foundational-security-best- .12 practices/v/1.0.0/ECS  |  security-control/ECS.12  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ECS.  |  security-control/ECS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS 3.  |  security-control/ECS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ECS.  |  security-control/ECS.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ECS.  |  security-control/ECS.5  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ECS.  |  security-control/ECS.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/EFS.  |  security-control/EFS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS 2.  |  security-control/EFS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS 3.  |  security-control/EFS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/EFS.  |  security-control/EFS.4  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/EKS.  |  security-control/EKS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk 1.  |  control de seguridad/ .1 ElasticBeanstalk  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ElasticBeanstalk.  |  control de seguridad/ .2 ElasticBeanstalk  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELBv 2.1  |  security-control/ELB.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 2.  |  security-control/ELB.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 3.  |  security-control/ELB.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ELB.  |  security-control/ELB.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ELB.  |  security-control/ELB.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/ELB.  |  security-control/ELB.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/ELB.  |  security-control/ELB.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ELB.  |  security-control/ELB.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/ELB.  |  security-control/ELB.9  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/ELB  |  security-control/ELB.10  | 
|  aws-foundational-security-best- .11 practices/v/1.0.0/ELB  |  security-control/ELB.11  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/ELB  |  security-control/ELB.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/ELB  |  security-control/ELB.13  | 
|  aws-foundational-security-best- .14 practices/v/1.0.0/ELB  |  security-control/ELB.14  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/EMR.  |  security-control/EMR.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES 1.  |  security-control/ES.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES 2.  |  security-control/ES.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES 3.  |  security-control/ES.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ES.  |  security-control/ES.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ES.  |  security-control/ES.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/ES.  |  security-control/ES.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/ES.  |  security-control/ES.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ES.  |  security-control/ES.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/GuardDuty.  |  control de seguridad/ .1 GuardDuty  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM 1.  |  security-control/IAM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM 2.  |  security-control/IAM.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM 2.1  |  security-control/IAM.21  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/IAM.  |  security-control/IAM.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/IAM.  |  security-control/IAM.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/IAM.  |  security-control/IAM.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/IAM.  |  security-control/IAM.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/IAM.  |  security-control/IAM.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/IAM.  |  security-control/IAM.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Kinesis.  |  security-control/Kinesis.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS 1.  |  security-control/KMS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS 2.  |  security-control/KMS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS 3.  |  security-control/KMS.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/Lambda 1.  |  security-control/Lambda.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Lambda 2.  |  security-control/Lambda.2  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Lambda.  |  security-control/Lambda.5  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/NetworkFirewall.  |  control de seguridad/ 3NetworkFirewall.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .4NetworkFirewall.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .5 NetworkFirewall  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .6 NetworkFirewall  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch 2.  |  security-control/Opensearch.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch 3.  |  security-control/Opensearch.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/RDS.  |  security-control/RDS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1.0  |  security-control/RDS.10  | 
|  aws-foundational-security-best- .11 practices/v/1.0.0/RDS  |  security-control/RDS.11  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/RDS  |  security-control/RDS.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/RDS  |  security-control/RDS.13  | 
|  aws-foundational-security-best- .14 practices/v/1.0.0/RDS  |  security-control/RDS.14  | 
|  aws-foundational-security-best- 1.5 practices/v/1.0.0/RDS  |  security-control/RDS.15  | 
|  aws-foundational-security-best- 1.6 practices/v/1.0.0/RDS  |  security-control/RDS.16  | 
|  aws-foundational-security-best- 1.7 practices/v/1.0.0/RDS  |  security-control/RDS.17  | 
|  aws-foundational-security-best- 1.9 practices/v/1.0.0/RDS  |  security-control/RDS.19  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/RDS.  |  security-control/RDS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,0  |  security-control/RDS.20  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/RDS  |  security-control/RDS.21  | 
|  aws-foundational-security-best- .22 practices/v/1.0.0/RDS  |  security-control/RDS.22  | 
|  aws-foundational-security-best- 2.3 practices/v/1.0.0/RDS  |  security-control/RDS.23  | 
|  aws-foundational-security-best- .24 practices/v/1.0.0/RDS  |  security-control/RDS.24  | 
|  aws-foundational-security-best- .25 practices/v/1.0.0/RDS  |  security-control/RDS.25  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/RDS.  |  security-control/RDS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/RDS.  |  security-control/RDS.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/RDS.  |  security-control/RDS.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/RDS.  |  security-control/RDS.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/RDS.  |  security-control/RDS.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/RDS.  |  security-control/RDS.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/RDS.  |  security-control/RDS.9  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Redshift.  |  security-control/Redshift.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift 2.  |  security-control/Redshift.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift 3.  |  security-control/Redshift.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/Redshift.  |  security-control/Redshift.4  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/Redshift.  |  security-control/Redshift.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/Redshift.  |  security-control/Redshift.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/Redshift.  |  security-control/Redshift.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/Redshift.  |  security-control/Redshift.9  | 
|  aws-foundational-security-best- 3.1 practices/v/1.0.0/S  |  security-control/S3.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.12  |  security-control/S3.12  | 
|  aws-foundational-security-best- 3,13 practices/v/1.0.0/S  |  security-control/S3.13  | 
|  aws-foundational-security-best- 3.2 practices/v/1.0.0/S  |  security-control/S3.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.3  |  security-control/S3.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.5  |  security-control/S3.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.6  |  security-control/S3.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.8  |  security-control/S3.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.9  |  security-control/S3.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker 1.  |  control de seguridad/ .1 SageMaker  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SageMaker.  |  control de seguridad/ .2 SageMaker  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/SageMaker.  |  control de seguridad/ 3SageMaker.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SecretsManager.  |  control de seguridad/ .1 SecretsManager  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SecretsManager.  |  control de seguridad/ .2 SecretsManager  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/SecretsManager.  |  control de seguridad/ 3SecretsManager.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/SecretsManager.  |  control de seguridad/ .4SecretsManager.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SQS.  |  security-control/SQS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM 1.  |  security-control/SSM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM 2.  |  security-control/SSM.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM 3.  |  security-control/SSM.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/SSM.  |  security-control/SSM.4  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/WAF.  |  security-control/WAF.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF 2.  |  security-control/WAF.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF 3.  |  security-control/WAF.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/WAF.  |  security-control/WAF.4  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/WAF.  |  security-control/WAF.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/WAF.  |  security-control/WAF.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/WAF.  |  security-control/WAF.8  | 
|  aws-foundational-security-best- .10 practices/v/1.0.0/WAF  |  security-control/WAF.10  | 
|  pci-. dss/v/3.2.1/PCI AutoScaling1.  |  control de seguridad/ 1AutoScaling.  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail1.  |  control de seguridad/ 2CloudTrail.  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail2.  |  control de seguridad/ 3CloudTrail.  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail3.  |  control de seguridad/ 4CloudTrail.  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail4.  |  control de seguridad/ 5CloudTrail.  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild1.  |  control de seguridad/ 1CodeBuild.  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild2.  |  control de seguridad/ 2CodeBuild.  | 
|  pci-.Config.1 dss/v/3.2.1/PCI  |  security-control/Config.1  | 
|  dss/v/3.2.1/PCIpci-C.W.1  |  control de CloudWatch seguridad/ 1.  | 
|  pci-D.MS.1 dss/v/3.2.1/PCI  |  security-control/DMS.1  | 
|  dss/v/3.2.1/PCIpci-EC2.1  |  security-control/EC2.1  | 
|  pci-EC2.2 dss/v/3.2.1/PCI  |  security-control/EC2.2  | 
|  pci-EC2.4 dss/v/3.2.1/PCI  |  security-control/EC2.12  | 
|  pci-EC2.5 dss/v/3.2.1/PCI  |  security-control/EC2.13  | 
|  pci-EC2.6 dss/v/3.2.1/PCI  |  security-control/EC2.6  | 
|  pci-. dss/v/3.2.1/PCI ELBv21.  |  security-control/ELB.1  | 
|  pci-.ES.1 dss/v/3.2.1/PCI  |  security-control/ES.2  | 
|  pci-ES.2 dss/v/3.2.1/PCI  |  security-control/ES.1  | 
|  pci-. dss/v/3.2.1/PCI GuardDuty1.  |  control de seguridad/ 1GuardDuty.  | 
|  pci-I.AM.1 dss/v/3.2.1/PCI  |  security-control/IAM.4  | 
|  dss/v/3.2.1/PCIpci-IAM.2  |  security-control/IAM.2  | 
|  dss/v/3.2.1/PCIpci-IAM.3  |  security-control/IAM.1  | 
|  dss/v/3.2.1/PCIpci-.IAM.4  |  security-control/IAM.6  | 
|  dss/v/3.2.1/PCIpci-.IAM.5  |  security-control/IAM.9  | 
|  dss/v/3.2.1/PCIpci-.IAM.6  |  security-control/IAM.19  | 
|  dss/v/3.2.1/PCIpci-.IAM.7  |  security-control/IAM.8  | 
|  dss/v/3.2.1/PCIpci-IAM.8  |  security-control/IAM.10  | 
|  dss/v/3.2.1/PCIpci-K.MS.1  |  security-control/KMS.4  | 
|  PCI- Lambda.1 dss/v/3.2.1/PCI  |  security-control/Lambda.1  | 
|  PCI- Lambda.2 dss/v/3.2.1/PCI  |  security-control/Lambda.3  | 
|  dss/v/3.2.1/PCIpci-.Abrir búsqueda.1  |  security-control/Opensearch.2  | 
|  dss/v/3.2.1/PCIpci-.Opensearch.2  |  security-control/Opensearch.1  | 
|  dss/v/3.2.1/PCIpci-RDS.1  |  security-control/RDS.1  | 
|  dss/v/3.2.1/PCIpci-RDS.2  |  security-control/RDS.2  | 
|  pci-.Redshift 1 dss/v/3.2.1/PCI  |  security-control/Redshift.1  | 
|  dss/v/3.2.1/PCIpci-S3.1  |  security-control/S3.3  | 
|  pci-S3.2 dss/v/3.2.1/PCI  |  security-control/S3.2  | 
|  pci-S3.3 dss/v/3.2.1/PCI  |  security-control/S3.7  | 
|  pci-S.3.5 dss/v/3.2.1/PCI  |  security-control/S3.5  | 
|  pci-S3.6 dss/v/3.2.1/PCI  |  security-control/S3.1  | 
|  pci-. dss/v/3.2.1/PCI SageMaker1.  |  control de seguridad/ 1SageMaker.  | 
|  pci-SSM.1 dss/v/3.2.1/PCI  |  security-control/SSM.2  | 
|  dss/v/3.2.1/PCIpci-SSM.2  |  security-control/SSM.3  | 
|  dss/v/3.2.1/PCIpci-SSM.3  |  security-control/SSM.1  | 
|  service-managed-aws-controltower/v/1.0.0/ACM- 1.  |  security-control/ACM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway 1.  |  control de seguridad/ .1 APIGateway  | 
|  service-managed-aws-control- 2tower/v/1.0.0/APIGateway.  |  control de seguridad/ .2 APIGateway  | 
|  service-managed-aws-control- 3tower/v/1.0.0/APIGateway.  |  control de seguridad/ 3APIGateway.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/APIGateway.  |  control de seguridad/ .4APIGateway.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/APIGateway.  |  control de seguridad/ .5 APIGateway  | 
|  service-managed-aws-control- 1tower/v/1.0.0/AutoScaling.  |  control de seguridad/ .1 AutoScaling  | 
|  service-managed-aws-control- 2tower/v/1.0.0/AutoScaling.  |  control de seguridad/ .2 AutoScaling  | 
|  service-managed-aws-control- 3tower/v/1.0.0/AutoScaling.  |  control de seguridad/ 3AutoScaling.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/AutoScaling.  |  control de seguridad/ .4AutoScaling.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Autoscaling.  |  security-control/Autoscaling.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/AutoScaling.  |  control de seguridad/ .6 AutoScaling  | 
|  service-managed-aws-control- 9tower/v/1.0.0/AutoScaling.  |  control de seguridad/ .9 AutoScaling  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CloudTrail.  |  control de seguridad/ .1 CloudTrail  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CloudTrail.  |  control de seguridad/ .2 CloudTrail  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CloudTrail.  |  control de seguridad/ .4CloudTrail.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CloudTrail.  |  control de seguridad/ .5 CloudTrail  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CodeBuild.  |  control de seguridad/ .1 CodeBuild  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CodeBuild.  |  control de seguridad/ .2 CodeBuild  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CodeBuild.  |  control de seguridad/ .4CodeBuild.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CodeBuild.  |  control de seguridad/ .5 CodeBuild  | 
|  service-managed-aws-control- 1tower/v/1.0.0/DMS.  |  security-control/DMS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/DynamoDB 1.  |  security-control/DynamoDB.1  | 
|  service-managed-aws-control- tower/v/1.0.0/DynamoDB 2.  |  security-control/DynamoDB.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.1  |  security-control/EC2.1  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.2  |  security-control/EC2.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.3  |  security-control/EC2.3  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.4  |  security-control/EC2.4  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.6  |  security-control/EC2.6  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.7  |  security-control/EC2.7  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.8  |  security-control/EC2.8  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.9  |  security-control/EC2.9  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.10  |  security-control/EC2.10  | 
|  service-managed-aws-control- 2.15 tower/v/1.0.0/EC  |  security-control/EC2.15  | 
|  service-managed-aws-control- 2.16 tower/v/1.0.0/EC  |  security-control/EC2.16  | 
|  service-managed-aws-control- 2.17 tower/v/1.0.0/EC  |  security-control/EC2.17  | 
|  service-managed-aws-control- 2.18 tower/v/1.0.0/EC  |  security-control/EC2.18  | 
|  service-managed-aws-control- 2.19 tower/v/1.0.0/EC  |  security-control/EC2.19  | 
|  service-managed-aws-control- 2,20 tower/v/1.0.0/EC  |  security-control/EC2.20  | 
|  service-managed-aws-control- 2.21 tower/v/1.0.0/EC  |  security-control/EC2.21  | 
|  service-managed-aws-control- 2,22 tower/v/1.0.0/EC  |  security-control/EC2.22  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ECR.  |  security-control/ECR.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ECR 2.  |  security-control/ECR.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ECR 3.  |  security-control/ECR.3  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS 1.  |  security-control/ECS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS 2.  |  security-control/ECS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS 3.  |  security-control/ECS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ECS.  |  security-control/ECS.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ECS.  |  security-control/ECS.5  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ECS.  |  security-control/ECS.8  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/ECS  |  security-control/ECS.10  | 
|  service-managed-aws-control- .12 tower/v/1.0.0/ECS  |  security-control/ECS.12  | 
|  service-managed-aws-control- 1tower/v/1.0.0/EFS.  |  security-control/EFS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS 2.  |  security-control/EFS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS 3.  |  security-control/EFS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/EFS.  |  security-control/EFS.4  | 
|  service-managed-aws-control- 2tower/v/1.0.0/EKS.  |  security-control/EKS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 2.  |  security-control/ELB.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 3.  |  security-control/ELB.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ELB.  |  security-control/ELB.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ELB.  |  security-control/ELB.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/ELB.  |  security-control/ELB.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/ELB.  |  security-control/ELB.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ELB.  |  security-control/ELB.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/ELB.  |  security-control/ELB.9  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/ELB  |  security-control/ELB.10  | 
|  service-managed-aws-control- .12 tower/v/1.0.0/ELB  |  security-control/ELB.12  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/ELB  |  security-control/ELB.13  | 
|  service-managed-aws-control- .14 tower/v/1.0.0/ELB  |  security-control/ELB.14  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/ELBv  |  control de seguridad/ .1 ELBv2  | 
|  service-managed-aws-control- tower/v/1.0.0/EMR 1.  |  security-control/EMR.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ES 1.  |  security-control/ES.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ES 2.  |  security-control/ES.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ES 3.  |  security-control/ES.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ES.  |  security-control/ES.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ES.  |  security-control/ES.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/ES.  |  security-control/ES.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/ES.  |  security-control/ES.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ES.  |  security-control/ES.8  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ElasticBeanstalk.  |  control de seguridad/ .1 ElasticBeanstalk  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ElasticBeanstalk.  |  control de seguridad/ .2 ElasticBeanstalk  | 
|  service-managed-aws-control- 1tower/v/1.0.0/GuardDuty.  |  control de seguridad/ .1 GuardDuty  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM 1.  |  security-control/IAM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM 2.  |  security-control/IAM.2  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM 3.  |  security-control/IAM.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/IAM.  |  security-control/IAM.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/IAM.  |  security-control/IAM.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/IAM.  |  security-control/IAM.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/IAM.  |  security-control/IAM.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/IAM.  |  security-control/IAM.8  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/IAM  |  security-control/IAM.21  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Kinesis.  |  security-control/Kinesis.1  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS 1.  |  security-control/KMS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS 2.  |  security-control/KMS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS 3.  |  security-control/KMS.3  | 
|  service-managed-aws-control- tower/v/1.0.0/Lambda 1.  |  security-control/Lambda.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Lambda 2.  |  security-control/Lambda.2  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Lambda.  |  security-control/Lambda.5  | 
|  service-managed-aws-control- 3tower/v/1.0.0/NetworkFirewall.  |  control de seguridad/ 3NetworkFirewall.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .4NetworkFirewall.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .5 NetworkFirewall  | 
|  service-managed-aws-control- 6tower/v/1.0.0/NetworkFirewall.  |  control de seguridad/ .6 NetworkFirewall  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch 2.  |  security-control/Opensearch.2  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch 3.  |  security-control/Opensearch.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.8  | 
|  service-managed-aws-control- 1tower/v/1.0.0/RDS.  |  security-control/RDS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2.  |  security-control/RDS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 3.  |  security-control/RDS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/RDS.  |  security-control/RDS.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/RDS.  |  security-control/RDS.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/RDS.  |  security-control/RDS.6  | 
|  service-managed-aws-control- 8tower/v/1.0.0/RDS.  |  security-control/RDS.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/RDS.  |  security-control/RDS.9  | 
|  service-managed-aws-control- .10 tower/v/1.0.0/RDS  |  security-control/RDS.10  | 
|  service-managed-aws-control- .11 tower/v/1.0.0/RDS  |  security-control/RDS.11  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/RDS  |  security-control/RDS.13  | 
|  service-managed-aws-control- 1.7 tower/v/1.0.0/RDS  |  security-control/RDS.17  | 
|  service-managed-aws-control- .18 tower/v/1.0.0/RDS  |  security-control/RDS.18  | 
|  service-managed-aws-control- 1.9 tower/v/1.0.0/RDS  |  security-control/RDS.19  | 
|  service-managed-aws-control- 2.0 tower/v/1.0.0/RDS  |  security-control/RDS.20  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/RDS  |  security-control/RDS.21  | 
|  service-managed-aws-control- .22 tower/v/1.0.0/RDS  |  security-control/RDS.22  | 
|  service-managed-aws-control- 2.3 tower/v/1.0.0/RDS  |  security-control/RDS.23  | 
|  service-managed-aws-control- .25 tower/v/1.0.0/RDS  |  security-control/RDS.25  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Redshift.  |  security-control/Redshift.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift 2.  |  security-control/Redshift.2  | 
|  service-managed-aws-control- 4tower/v/1.0.0/Redshift.  |  security-control/Redshift.4  | 
|  service-managed-aws-control- 6tower/v/1.0.0/Redshift.  |  security-control/Redshift.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/Redshift.  |  security-control/Redshift.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/Redshift.  |  security-control/Redshift.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/Redshift.  |  security-control/Redshift.9  | 
|  service-managed-aws-control- 3.1 tower/v/1.0.0/S  |  security-control/S3.1  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.2  |  security-control/S3.2  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.3  |  security-control/S3.3  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.5  |  security-control/S3.5  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.6  |  security-control/S3.6  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.8  |  security-control/S3.8  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.9  |  security-control/S3.9  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.12  |  security-control/S3.12  | 
|  service-managed-aws-control- 3,13 tower/v/1.0.0/S  |  security-control/S3.13  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SageMaker.  |  control de seguridad/ .1 SageMaker  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager 1.  |  control de seguridad/ .1 SecretsManager  | 
|  service-managed-aws-control- 2tower/v/1.0.0/SecretsManager.  |  control de seguridad/ .2 SecretsManager  | 
|  service-managed-aws-control- 3tower/v/1.0.0/SecretsManager.  |  control de seguridad/ 3SecretsManager.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/SecretsManager.  |  control de seguridad/ .4SecretsManager.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SQS.  |  security-control/SQS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM 1.  |  security-control/SSM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM 2.  |  security-control/SSM.2  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM 3.  |  security-control/SSM.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/SSM.  |  security-control/SSM.4  | 
|  service-managed-aws-control- 2tower/v/1.0.0/WAF.  |  security-control/WAF.2  | 
|  service-managed-aws-control- tower/v/1.0.0/WAF 3.  |  security-control/WAF.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/WAF.  |  security-control/WAF.4  | 

## Cómo afecta la consolidación al control IDs y a los títulos
<a name="securityhub-findings-format-changes-ids-titles"></a>

La vista de los controles consolidados y los resultados de los controles consolidados estandarizan el control IDs y los títulos en todos los estándares. Los términos *Identificador de control de seguridad* y *título de control de seguridad* se refieren a estos valores independientes de los estándares.

La consola CSPM de Security Hub muestra títulos de control de seguridad IDs y control de seguridad independientes de los estándares, independientemente de si Consolidated Control Findings está activado o desactivado para su cuenta. Sin embargo, los resultados del CSPM de Security Hub incluyen títulos de controles específicos de cada estándar (como PCI-DSS y CIS v1.2.0) cuando la cuenta tiene desactivados los resultados consolidados de controles. Además, los resultados del CSPM de Security Hub incluyen el identificador específico del estándar y el identificador del control de seguridad. Para ver ejemplos de cómo la consolidación afecta los resultados de controles, consulte [Ejemplos de resultados de controles](sample-control-findings.md).

En el caso de los controles que forman parte del [estándar administrado por el servicio:AWS Control Tower](service-managed-standard-aws-control-tower.md), el prefijo `CT.` se elimina del identificador y el título del control en los resultados cuando los resultados consolidados de controles están habilitados.

Para desactivar un control de seguridad en el CSPM de Security Hub, debe desactivar todos los controles del estándar que correspondan a ese control de seguridad. En la siguiente tabla se muestra la asignación de los controles y títulos de seguridad a los controles IDs y títulos específicos de la norma. IDs IDs y los títulos de los controles que pertenecen al estándar AWS Foundational Security Best Practices (FSBP) ya son independientes del estándar. Para asignar los controles a los requisitos de Center for Internet Security (CIS) v3.0.0 (CIS), consulte [Asignación de los controles a los requisitos del CIS en cada versión](cis-aws-foundations-benchmark.md#cis-version-comparison). Para ejecutar sus propios scripts con esta tabla, puede [descargarla como un archivo .csv](samples/Consolidation_ID_Title_Changes.csv.zip).


| Standard | Identificador y título del control estándar | Identificador y título del control de seguridad | 
| --- | --- | --- | 
|  CIS v1.2.0  |  1.1 Evitar el uso del usuario raíz  |  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  1.10 Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas  |  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)  | 
|  CIS v1.2.0  |  1.11 Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos  |  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)  | 
|  CIS v1.2.0  |  1.12 Asegurar que no existe una clave de acceso del usuario raíz  |  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)  | 
|  CIS v1.2.0  |  1.13 Asegurar que la MFA está activada para el usuario raíz  |  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  | 
|  CIS v1.2.0  |  1.14 Asegurar que la MFA está activada para el usuario raíz  |  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)  | 
|  CIS v1.2.0  |  1.16 Asegurar que las políticas de IAM solo están asociadas a grupos o roles  |  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)  | 
|  CIS v1.2.0  |  1.2 Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola  |  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)  | 
|  CIS v1.2.0  |  1.20 Asegurar que se ha creado un rol de soporte para administrar incidentes con Soporte  |  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.2.0  |  1.22 Asegurar que no se crean políticas de IAM que permiten privilegios administrativos completos “\$1:\$1”  |  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)  | 
|  CIS v1.2.0  |  1.3 Asegurar que se deshabilitan las credenciales no usadas durante 90 días o más  |  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)  | 
|  CIS v1.2.0  |  1.4 Asegurar que las claves de acceso se rotan cada 90 días o menos  |  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)  | 
|  CIS v1.2.0  |  1.5 Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula  |  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)  | 
|  CIS v1.2.0  |  1.6 Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula  |  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)  | 
|  CIS v1.2.0  |  1.7 Asegurar que la política de contraseñas de IAM requiere al menos un símbolo  |  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)  | 
|  CIS v1.2.0  |  1.8 Asegurar que la política de contraseñas de IAM requiere al menos un número  |  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)  | 
|  CIS v1.2.0  |  1.9 Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más  |  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)  | 
|  CIS v1.2.0  |  2.1 Ensure está activado en todas las regiones CloudTrail   |  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.2.0  |  2.2 Asegúrese de que la validación del archivo de CloudTrail registro esté habilitada  |  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.2.0  |  2.3 Asegúrese de que el depósito de S3 utilizado para almacenar CloudTrail los registros no sea de acceso público  |  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS v1.2.0  |  2.4 Asegúrese de que los CloudTrail senderos estén integrados con CloudWatch los registros  |  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.2.0  |  2.5 Asegúrese de que AWS Config esté activado  |  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | 
|  CIS v1.2.0  |  2.6 Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3  |  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.2.0  |  2.7 Asegúrese de que CloudTrail los registros estén cifrados en reposo mediante KMS CMKs  |  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.2.0  |  2.8 Asegúrese de que la rotación para los clientes creados CMKs esté habilitada  |  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)  | 
|  CIS v1.2.0  |  2.9 Asegúrese de que el registro de flujo de VPC esté habilitado en todas VPCs  |  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.2.0  |  3.1 Asegurar que haya un filtro de métricas de registro y alarma para las llamadas no autorizadas a la API  |  [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS v1.2.0  |  3.10 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad  |  [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.2.0  |  3.11 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL)  |  [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.2.0  |  3.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las gateways de la red  |  [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.2.0  |  3.13 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento  |  [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.2.0  |  3.14 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC  |  [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.2.0  |  3.2 Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en la Consola de administración sin MFA  |  [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS v1.2.0  |  3.3 Asegurar que haya un filtro de métricas de registro y alarma de registro para el uso del usuario raíz  |  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  3.4 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM  |  [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.2.0  |  3.5 Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración  |  [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.2.0  |  3.6 Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar errores Consola de administración de AWS de autenticación  |  [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.2.0  |  3.7 Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs  |  [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.2.0  |  3.8 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3  |  [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.2.0  |  3.9 Asegúrese de que existan un filtro de registro métrico y una alarma para los cambios AWS Config de configuración  |  [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.2.0  |  4.1 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22  |  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | 
|  CIS v1.2.0  |  4.2 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389  |  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  | 
|  CIS v1.2.0  |  4.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico  |  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola  |  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 Asegurar que las claves de acceso se rotan cada 90 días o menos  |  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 Asegurar que no se adjunten políticas de IAM que permitan privilegios administrativos completos “\$1:\$1”  |  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 Asegurar que se ha creado un rol de soporte para administrar incidentes con Soporte  |  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 Asegurar que no existe una clave de acceso del usuario raíz  |  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 Asegurar que la MFA esté activada para el usuario raíz  |  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.6 Asegurar que la MFA basada en hardware está activada para el usuario raíz  |  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 Elimine el uso del usuario raíz para las tareas administrativas y diarias  |  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más  |  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas  |  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 Asegúrese de que la política de buckets de S3 esté configurada para denegar las solicitudes HTTP  |  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 La configuración de S3 Block Public Access debe estar habilitada  |  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 La configuración de acceso público al bloque S3 debe estar habilitada en el nivel de bucket  |  [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 Asegúrese de que el cifrado de volúmenes de EBS esté activado  |  [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 Asegúrese de que el cifrado esté habilitado para las instancias RDS  |  [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 Asegúrese de que CloudTrail esté activado en todas las regiones  |  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 Asegúrese de que la validación del archivo de CloudTrail registro esté habilitada  |  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 Asegúrese de que los CloudTrail senderos estén integrados con CloudWatch los registros  |  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 Asegúrese de que AWS Config esté habilitado en todas las regiones  |  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3  |  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 Asegúrese de que CloudTrail los registros estén cifrados en reposo mediante KMS CMKs  |  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 Asegúrese de que la rotación para los clientes creados CMKs esté habilitada  |  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 Asegúrese de que el registro de flujo de VPC esté habilitado en todas VPCs  |  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM  |  [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración  |  [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar errores Consola de administración de AWS de autenticación  |  [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada lo creado por el cliente CMKs  |  [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3  |  [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 Asegúrese de que existan un filtro de registro métrico y una alarma para los cambios AWS Config de configuración  |  [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad  |  [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL)  |  [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red  |  [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento  |  [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC  |  [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 Asegúrese de que ninguna red ACLs permita el ingreso desde el 0.0.0.0/0 a los puertos de administración remota del servidor  |  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico  |  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI. AutoScaling.1 Los grupos de escalado automático asociados a un balanceador de cargas deben usar las comprobaciones de estado del balanceador de cargas  |  [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.1 CloudTrail Los registros deben cifrarse en reposo mediante AWS KMS CMKs  |  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.2 CloudTrail debería estar activado  |  [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.3 La validación del archivo de CloudTrail registro debe estar habilitada  |  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.4 Las CloudTrail rutas deberían estar integradas con Amazon Logs CloudWatch   |  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.1 CodeBuild GitHub o el repositorio fuente de Bitbucket debe usar URLs OAuth  |  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.2 Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro  |  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |  PCI.config.1 debe estar activado AWS Config   |  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1 Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”  |  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  Las instancias de replicación del Servicio de migración de bases de datos PCI.DMS.1 no deben ser públicas  |  [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.1 Las instantáneas de EBS no se deben poder restaurar públicamente  |  [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.2 El grupo de seguridad predeterminado de la VPC debería prohibir el tráfico entrante y saliente  |  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  Se debe eliminar el EC2 no utilizado del PCI.EC2.4 EIPs   |  [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.5 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22  |  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  El registro de flujo de VPC PCI.EC2.6 debe estar habilitado en todos VPCs  |  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  PCI. ELBv2.1 Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS  |  [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  PCI.ES.1 Los dominios de Elasticsearch deberían estar en una VPC  |  [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  PCI.ES.2 Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo  |  [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  PCI. GuardDuty.1 GuardDuty debe estar activado  |  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.1 La clave de acceso de usuario raíz de IAM no debe existir  |  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.2 Los usuarios de IAM no deben tener políticas de IAM asociadas  |  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.3 Las políticas de IAM no deben permitir privilegios administrativos completos «\$1»  |  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.4 La MFA de hardware debe estar habilitada para el usuario raíz  |  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.5 La MFA virtual debe estar habilitada para el usuario raíz  |  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.6 MFA se debe habilitar para todos los usuarios de IAM   |  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.7 Las credenciales de usuario de IAM deben deshabilitarse si no se utilizan en un número de días predefinido  |  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.8 Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras  |  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  PCI.KMS.1 La rotación de la clave maestra del cliente (CMK) debe estar habilitada  |  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  PCI.lambda.1 Las funciones de Lambda deberían prohibir el acceso público  |  [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  PCI.lambda.2 Las funciones de Lambda deben estar en una VPC  |  [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |  Los OpenSearch dominios PCI.openSearch.1 deben estar en una VPC  |  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  PCI.Opensearch.2 Las instantáneas de EBS no se deben poder restaurar públicamente  |  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.1 Las instantáneas de RDS deben ser privadas  |  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.2 Las instancias de base de datos de RDS deberían prohibir el acceso público  |  [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.Redshift.1 Los clústeres de Amazon Redshift deberían prohibir el acceso público  |  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  PCI.S3.1 Los buckets de S3 deberían prohibir el acceso de escritura pública  |  [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  PCI.S3.2 Los buckets de S3 deberían prohibir el acceso público de lectura  |  [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  PCI.S3.3 Los buckets de S3 deben tener habilitada la replicación entre regiones  |  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  Los buckets PCI.S3.5 S3 deberían requerir solicitudes para usar Secure Socket Layer  |  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  PCI.S3.6 La configuración de S3 Block Public Access debe estar habilitada  |  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  PCI. SageMaker.1 Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet  |  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.1 Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche  |  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  Las instancias EC2 de PCI.SSM.2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT  |  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  Las instancias EC2 de PCI.SSM.3 deben gestionarse mediante AWS Systems Manager  |  [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## Actualización de los flujos de trabajo para la consolidación
<a name="securityhub-findings-format-changes-prepare"></a>

Si los flujos de trabajo no dependen del formato específico de ninguno de los campos en los resultados de controles, no se requiere ninguna acción.

Si los flujos de trabajo dependen del formato específico de uno o varios campos en los resultados de controles, como se indica en las tablas anteriores, debe actualizar los flujos de trabajo. Por ejemplo, si ha creado una EventBridge regla de Amazon que desencadena una acción para un ID de control específico, como invocar una AWS Lambda función si el ID de control es igual a CIS 2.7, actualice la regla para que utilice CloudTrail .2, que es el valor del `Compliance.SecurityControlId` campo de ese control.

Si usted creó [productos de información personalizados](securityhub-custom-insights.md) que usan alguno de los campos o valores que cambiaron, debe actualizar esos productos de información de modo que utilicen los nuevos campos o valores.

# Atributos de nivel superior necesarios del ASFF
<a name="asff-required-attributes"></a>

Los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF) son necesarios para todos los hallazgos en Security Hub CSPM. Para obtener más información sobre estos atributos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) en la *Referencia de la API de AWS Security Hub*.

## AwsAccountId
<a name="AwsAccountId"></a>

El Cuenta de AWS identificador al que se aplica el hallazgo.

**Ejemplo**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

Indica el momento en que se creó el posible problema o evento de seguridad que aparece en el resultado.

**Ejemplo**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## Description (Descripción)
<a name="Description"></a>

Una descripción del hallazgo. Este campo puede ser texto reutilizable no específico o información específica de la instancia del hallazgo.

En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo proporciona una descripción del control.

Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Ejemplo**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

El identificador para el componente específico de la solución (unidad de lógica discreta) que generó un hallazgo.

En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo no hace referencia a ningún estándar cuando habilita los [resultados consolidados de controles](controls-findings-create-update.md#consolidated-control-findings).

**Ejemplo**

```
"GeneratorId": "security-control/Config.1"
```

## Id
<a name="Id"></a>

El identificador específico del producto para un hallazgo. En el caso de los resultados de controles que genera el CSPM de Security Hub, este campo proporciona el nombre de recurso de Amazon (ARN) del resultado.

Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Ejemplo**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

El nombre de recurso de Amazon (ARN) que genera el CSPM de Security Hub y que identifica de forma única un producto de resultados de un tercero después de que dicho producto se registra en el CSPM de Security Hub.

El formato de este campo es `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Para Servicios de AWS que estén integrados con Security Hub CSPM, `company-id` debe ser `aws` «» y `product-id` debe ser el nombre del servicio AWS público. Como AWS los productos y servicios no están asociados a una cuenta, la `account-id` sección del ARN está vacía. Servicios de AWS los productos que aún no estén integrados con Security Hub CSPM se consideran productos de terceros.
+ En el caso de productos públicos, el `company-id` y el `product-id` deben ser los valores de ID especificados en el momento del registro.
+ En el caso de productos privados, el `company-id` debe ser el ID de la cuenta. El `product-id` debe ser la palabra reservada de forma predeterminada o el ID que se especificó en el momento del registro.

**Ejemplo**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## Recursos
<a name="Resources"></a>

La `Resources` matriz de objetos proporciona un conjunto de tipos de datos de recursos que describen AWS los recursos a los que se refiere el hallazgo. Para ver los detalles sobre los campos que puede incluir el objeto `Resources`, incluidos los campos obligatorios, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html) en la *Referencia de la API de AWS Security Hub*. Para ver ejemplos de `Resources` objetos específicos Servicios de AWS, consulte[Objeto Resources del ASFF](asff-resources.md).

**Ejemplo**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

La versión del esquema para el que se está formateado un hallazgo. El valor de este campo debe ser una de las versiones publicadas oficialmente identificadas por AWS. En la versión actual, la versión del esquema AWS Security Finding Format es`2018-10-08`.

**Ejemplo**

```
"SchemaVersion": "2018-10-08"
```

## Gravedad
<a name="Severity"></a>

Define la importancia de un resultado. Para obtener más información sobre este objeto, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html) en la *referencia de la API de AWS Security Hub *.

`Severity` es a la vez un objeto de nivel superior en un resultado y está anidado debajo del objeto `FindingProviderFields`.

El valor del objeto de nivel superior `Severity` para un resultado se debe actualizar solo mediante la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para proporcionar información sobre la gravedad, los proveedores de resultados deben actualizar el objeto `Severity` de `FindingProviderFields` cuando se hace una solicitud a la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html).
 Si una solicitud `BatchImportFindings` para un nuevo resultado solo proporciona `Label` o `Normalized` únicamente, el CSPM de Security Hub completa automáticamente el valor del otro campo. Los campos `Product` y `Original` también pueden completarse.

Si el objeto de nivel superior `Finding.Severity` está presente pero `Finding.FindingProviderFields` no está presente, el CSPM de Security Hub crea el objeto `FindingProviderFields.Severity` y copia en este la totalidad de `Finding.Severity object`. Esto garantiza que los detalles originales proporcionados por el proveedor se van a retener en la estructura `FindingProviderFields.Severity`, incluso si se sobrescribe el objeto de nivel superior `Severity`. 

La gravedad del hallazgo no tiene en cuenta la importancia crítica de los activos involucrados o del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el hallazgo. Por ejemplo, un recurso que está asociado a una aplicación de misión crítica tiene mayor importancia crítica frente a uno asociado a pruebas que no son de producción. Para capturar información sobre la importancia crítica de los recursos, utilice el campo `Criticality`.

Recomendamos utilizar la siguiente guía al traducir las puntuaciones de gravedad nativas de los resultados al valor `Severity.Label` en ASFF.
+ `INFORMATIONAL`: Esta categoría puede incluir el resultado de `PASSED`, `WARNING`, `NOT AVAILABLE` o una identificación de datos confidenciales.
+ `LOW`: Resultados que podrían resultar en futuros compromisos. Por ejemplo, esta categoría puede incluir vulnerabilidades, puntos débiles de configuración y contraseñas expuestas.
+ `MEDIUM` – Resultados que están asociados con problemas que indican una situación de peligro activa, pero ninguna indicación de que un adversario haya completado sus objetivos. Por ejemplo, esta categoría puede incluir actividad de malware, actividad de piratería y detección de comportamientos inusual.
+ `HIGH` o `CRITICAL` – Resultados que indican que un adversario ha completado sus objetivos, como, por ejemplo, pérdida de datos activa, situación en peligro o denegación de servicios.

**Ejemplo**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## Title
<a name="Title"></a>

El título de un hallazgo. Este campo puede contener texto reutilizable no específico o información específica de esta instancia del hallazgo.

En el caso de los resultados de control, este campo proporciona el título del control. Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Ejemplo**

```
"Title": "AWS Config should be enabled"
```

## Tipos
<a name="Types"></a>

Uno o varios tipos de hallazgos en el formato de `namespace/category/classifier` que clasifica un hallazgo. Este campo no hace referencia a un estándar si activa los [resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

`Types` se debe actualizar solo mediante la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Los proveedores de resultados que deseen proporcionar un valor para `Types` deben utilizar el atributo `Types` en [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).

En la siguiente lista, las viñetas de nivel superior son espacios de nombres, las viñetas de segundo nivel son categorías y las viñetas de tercer nivel son clasificadores. Recomendamos que los proveedores de resultado utilicen espacios de nombres definidos para ayudar a ordenar y agrupar los resultados. Se recomienda el uso de las categorías y clasificadores definidos, pero no son obligatorios. Sólo el espacio de nombres Comprobaciones de software y configuración tiene clasificadores definidos.

Puede definir una ruta parcial paranamespace/category/classifier. Por ejemplo, los siguientes tipos de hallazgo son válidos:
+ TTPs
+ TTPs/Defensa: Evasión
+ TTPs/Defense Evasion/CloudTrailStopped

Las categorías de tácticas, técnicas y procedimientos (TTPs) de la siguiente lista se alinean con la MatrixTM [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/). Los comportamientos inusuales reflejan un comportamiento general inusual, como anomalías estadísticas generales y no están alineados con un TTP específico. Sin embargo, puede clasificar un hallazgo tanto por comportamientos inusuales como por tipos de hallazgos. TTPs 

**Lista de espacios de nombres, categorías y clasificadores:**
+ Comprobaciones de configuración y software
  + Vulnerabilidades
    + CVE
  + AWS Prácticas recomendadas de seguridad
    + Accesibilidad de red
    + Análisis del comportamiento del tiempo de ejecución
  + Estándares del sector y normativos
    + AWS Mejores prácticas de seguridad fundamentales
    + Indicadores de referencia de fortalecimiento de host de CIS
    + Punto de referencia de la AWS Fundación CIS
    + PCI-DSS
    + Controles Cloud Security Alliance
    + Controles ISO 90001
    + Controles ISO 27001
    + Controles ISO 27017
    + Controles ISO 27018
    + SOC 1
    + SOC 2
    + Controles HIPAA (EE. UU.)
    + Controles 800-53 de NIST (EE. UU.)
    + Controles de CSF del NIST (EE. UU.)
    + Controles IRAP (Australia)
    + Controles K-ISMS (Corea)
    + Controles MTCS (Singapur)
    + Controles FISC (Japón)
    + Controles My Number Act (Japón)
    + Controles ENS (España)
    + Controles Cyber Essentials Plus (Reino Unido)
    + Controles G-Cloud (Reino Unido)
    + Controles C5 (Alemania)
    + Controles IT-Grundschutz (Alemania)
    + Controles del RGPD (Europa)
    + Controles TISAX (Europa)
  + Administración de parches
+ TTPs
  + Acceso inicial
  + Ejecución
  + Persistencia
  + Escalado de privilegios
  + Evasión de defensa
  + Acceso a credenciales
  + Discovery
  + Movimiento lateral
  + Recopilación
  + Comando y control
+ Efectos
  + Exposición de datos
  + Filtración de datos 
  + Destrucción de datos 
  + Ataques de denegación de servicio 
  + Consumo de recursos
+ Comportamientos inusuales
  + Aplicación
  + Flujo de red
  + Dirección IP
  + Usuario
  + VM
  + Container
  + Sin servidor
  + Proceso
  + Base de datos
  + Datos 
+ Identificaciones de información confidencial
  + PII
  + Contraseñas
  + Cuestiones legales
  + Datos financieros
  + Seguridad
  + Usuarios

**Ejemplo**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

Indica cuándo fue la última vez que el proveedor de resultados actualizó el registro de resultado.

Esta marca de tiempo refleja la hora en que el registro de resultado se actualizó por última vez o por última vez. En consecuencia, puede diferir de la marca de tiempo `LastObservedAt`, que refleja cuándo se observó por última vez o más recientemente el evento o la vulnerabilidad.

Al actualizar el registro del hallazgo, debe actualizar esta marca temporal con la marca temporal actual. Tras la creación de un registro del resultado, las marcas temporales `CreatedAt` y `UpdatedAt` deben actualizarse a la misma marca temporal. Después de una actualización del registro del resultado, el valor de este campo debe ser el más reciente frente a todos los valores anteriores que contenía.

Tenga en cuenta que `UpdatedAt` no se puede actualizar mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Usted solo puede actualizarlo mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

**Ejemplo**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# Atributos de nivel superior opcionales del ASFF
<a name="asff-top-level-attributes"></a>

Los siguientes atributos de nivel superior del formato de búsqueda AWS de seguridad (ASFF) son opcionales para las búsquedas en Security Hub CSPM. Para obtener más información sobre estos atributos, consulte [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) en la *Referencia de la API de AWS Security Hub*.

## Action
<a name="asff-action"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) proporciona detalles sobre una acción que afecta a un recurso o que se realizó respecto a este.

**Ejemplo**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

 Cuenta de AWS Nombre al que se aplica el hallazgo.

**Ejemplo**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

El nombre de la empresa del producto que generó el resultado. Para los hallazgos basados en el control, la empresa es AWS.

El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). La excepción a esto es cuando se utiliza una integración personalizada. Consulte [Integración del CSPM de Security Hub con productos personalizados](securityhub-custom-providers.md).

Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de empresa, se utiliza este atributo. Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de empresa, utiliza el atributo `aws/securityhub/CompanyName` dentro de `ProductFields`. El CSPM de Security Hub no sincroniza esos dos atributos.

**Ejemplo**

```
"CompanyName": "AWS"
```

## Conformidad
<a name="asff-compliance"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html) normalmente proporciona detalles sobre un resultado de control, como los estándares aplicables y el estado de la comprobación de control.

**Ejemplo**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## Confianza
<a name="asff-confidence"></a>

La probabilidad de que un resultado identifique de forma precisa el comportamiento o problema que se pretendía identificar.

`Confidence` solo debe actualizarse mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Los proveedores de resultados que deseen proporcionar un valor para `Confidence` deben utilizar el atributo `Confidence` en `FindingProviderFields`. Consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Confidence` recibe una puntuación de 0-100 en base a una escala de proporción, donde 0 significa 0 por cien de confianza y 100 significa 100 por cien de confianza. Por ejemplo, una detección de filtración de datos en base a una desviación estadística del tráfico de red tiene una confianza mucho más baja porque no se ha verificado una filtración real.

**Ejemplo**

```
"Confidence": 42
```

## Criticidad
<a name="asff-criticality"></a>

El nivel de importancia que se asigna a los recursos asociados con el resultado.

`Criticality` solo debe actualizarse llamando a la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). No actualice este objeto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Los proveedores de resultados que deseen proporcionar un valor para `Criticality` deben utilizar el atributo `Criticality` en `FindingProviderFields`. Consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Criticality` se puntúa de 0-100, mediante una escala de proporción que solo admite números enteros. Una puntuación de 0 significa que los recursos subyacentes no tienen mucha importancia y una puntuación de 100 está reservada para los recursos de importancia vital.

Para cada recurso, tenga en cuenta lo siguiente al asignar `Criticality`:
+ ¿Contiene el recurso afectado información confidencial (por ejemplo, un bucket de S3 con PII)? 
+ ¿Permite el recurso afectado que un adversario profundice su acceso o amplíe sus capacidades de llevar a cabo actividades malintencionadas adicionales (por ejemplo, cuenta sysadmin en peligro)?
+ ¿Es el recurso un activo vital de la empresa (por ejemplo, un sistema empresarial clave que si estuviera en peligro podría afectar a los ingresos significativamente)?

Puede utilizar las siguientes directrices:
+ Un recurso que habilita sistemas esenciales o que contiene un alto nivel de información confidencial puede puntuar en el intervalo de 75-100.
+ Un recurso que habilita sistemas importantes (pero no esenciales) o que contiene datos moderadamente importantes puede puntuar en el intervalo de 25-75.
+ Un recurso que habilita sistemas no importantes o que no contienen información confidencial debe puntuar en el intervalo de 0-24.

**Ejemplo**

```
"Criticality": 99
```

## Detección
<a name="asff-detection"></a>

El `Detection` objeto proporciona detalles sobre una secuencia de ataque detectada por Amazon GuardDuty Extended Threat Detection. GuardDuty genera una secuencia de ataque que detecta cuando varios eventos se alinean con una actividad potencialmente sospechosa. Para recibir los resultados de la secuencia de GuardDuty ataques en AWS Security Hub CSPM, debe tener GuardDuty activado el CSPM en su cuenta. Para obtener más información, consulte [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) en la *Guía del GuardDuty usuario de Amazon*.

**Ejemplo**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields` incluye los siguientes atributos:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Los campos anteriores están anidados debajo del objeto `FindingProviderFields`, pero tienen análogos del mismo nombre que los campos del ASFF de nivel superior. Cuando un proveedor envía un nuevo resultado al CSPM de Security Hub, el CSPM de Security Hub completa automáticamente el objeto `FindingProviderFields` si está vacío, según los campos de nivel superior correspondientes.

Los proveedores de resultados pueden actualizar `FindingProviderFields` mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) de la API del CSPM de Security Hub. Los proveedores de resultados no pueden actualizar este objeto mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para obtener detalles sobre cómo el CSPM de Security Hub maneja las actualizaciones desde `BatchImportFindings` hacia `FindingProviderFields` y hacia los atributos de nivel superior correspondientes, consulte [Actualizar los resultados mediante FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

Los clientes pueden actualizar los campos de nivel superior mediante la operación `BatchUpdateFindings`. Los clientes no pueden actualizar `FindingProviderFields`.

**Ejemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

Indica el momento en que se observó por primera vez el posible problema o evento de seguridad que aparece en el resultado.

Esta marca de tiempo indica cuándo se observó por primera vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo `CreatedAt`, la cual refleja cuándo se creó este registro del resultado.

En el caso de los resultados de controles que genera y actualiza el CSPM de Security Hub, esta marca de tiempo también puede indicar cuándo cambió por última vez el estado de cumplimiento de un recurso. Para otros tipos de resultados, esta marca de tiempo debe permanecer inmutable entre las actualizaciones del registro del resultado, pero puede actualizarse si se determina una marca de tiempo más precisa.

**Ejemplo**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

Indica el momento en que el producto de resultados de seguridad observó por última vez el posible problema o evento capturado por un resultado.

Esta marca de tiempo indica cuándo se observó por última vez el evento o la vulnerabilidad. Por lo tanto, puede diferir de la marca de tiempo `UpdatedAt`, que refleja cuándo se actualizó este registro de resultados por última vez. 

Puede proporcionar esta marca temporal, pero no es necesaria tras la primera observación. Si completa este campo en la primera observación, la marca de tiempo debe coincidir con la marca de tiempo `FirstObservedAt`. Debe actualizar este campo para reflejar la marca temporal observada más recientemente o por última vez cada vez se observa un resultado.

**Ejemplo**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Malware
<a name="asff-malware"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) proporciona una lista de malware relacionada con un resultado.

**Ejemplo**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Network (Retired)
<a name="asff-network"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html) brinda información relacionada con la red de un resultado.

Este objeto se ha retirado. Para proporcionar estos datos, puede asignar los datos a un recurso en `Resources` o utilizar el objeto `Action`.

**Ejemplo**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html) proporciona información sobre una ruta de red relacionada con un resultado. Cada entrada en `NetworkPath` representa un componente de la ruta.

**Ejemplo**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## Nota
<a name="asff-note"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html) especifica una nota definida por el usuario que se puede añadir a un resultado.

Un proveedor de hallazgos puede proporcionar una nota inicial para un hallazgo, pero después no puede agregar más notas. Solo puede actualizar una nota con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Ejemplo**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html) proporciona un resumen del estado de conformidad del parche de una instancia con respecto a un estándar de cumplimiento seleccionado.

**Ejemplo**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## Proceso
<a name="asff-process"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html) proporciona detalles relacionados con el proceso acerca del resultado.

Ejemplo:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Indica el momento en que el CSPM de Security Hub recibió un resultado y comenzó a procesarlo.

Esto difiere de `CreatedAt` y `UpdatedAt`, que son marcas de tiempo obligatorias relacionadas con la interacción del proveedor del resultado con el problema de seguridad y con el propio resultado. La marca de tiempo `ProcessedAt` señala cuándo el CSPM de Security Hub inicia el procesamiento de un resultado. Un resultado aparece en la cuenta del usuario después de que el procesamiento finaliza.

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

Un tipo de datos en el que los productos de análisis de seguridad pueden incluir detalles adicionales específicos de la solución que no forman parte del formato de análisis de AWS seguridad definido.

En el caso de los resultados generados por los controles del CSPM de Security Hub, `ProductFields` incluye información sobre el control. Consulte [Generación y actualización de los resultados de control](controls-findings-create-update.md).

Este campo no debe contener datos redundantes ni datos que entren en conflicto con los campos del formato de búsqueda AWS de seguridad.

El prefijo `aws/` "" representa un espacio de nombres reservado únicamente para AWS productos y servicios y no debe enviarse junto con los resultados de integraciones de terceros.

Aunque no es necesario, los productos deben formatear los nombres de los campos como `company-id/product-id/field-name`, donde el `company-id` y el `product-id` coinciden con los suministrados en el `ProductArn` del hallazgo.

Los campos que hacen referencia a `Archival` se usan cuando el CSPM de Security Hub archiva un resultado existente. Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando desactiva un control o un estándar y cuando activa o desactiva los [resultados consolidados de controles](controls-findings-create-update.md#consolidated-control-findings).

Este campo también puede incluir información sobre el estándar que incluye el control que produjo el resultado.

**Ejemplo**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

Proporciona el nombre del producto que generó el resultado. En el caso de los resultados basados en controles, el nombre del producto es CSPM de Security Hub.

El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). La excepción a esto es cuando se utiliza una integración personalizada. Consulte [Integración del CSPM de Security Hub con productos personalizados](securityhub-custom-providers.md).

Cuando usa la consola del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza este atributo.

Cuando usa la API del CSPM de Security Hub para filtrar resultados por nombre de producto, utiliza el atributo `aws/securityhub/ProductName` dentro de `ProductFields`.

El CSPM de Security Hub no sincroniza esos dos atributos.

## RecordState
<a name="asff-recordstate"></a>

El estado de registro de un a resultado. 

De forma predeterminada, los hallazgos generados inicialmente por un servicio se consideran `ACTIVE`.

El estado `ARCHIVED` indica que un hallazgo estará oculto a la vista. Los resultados archivados no se eliminan de inmediato. Puede buscar, examinar e informar sobre ellos. El CSPM de Security Hub archiva automáticamente los resultados basados en controles cuando el recurso asociado se elimina, el recurso no existe o el control está desactivado.

`RecordState` está destinado a los proveedores de resultados y solo se puede actualizar mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html). No puede actualizarlo mediante la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para hacer un seguimiento del estado de la investigación sobre un resultado, utilice [`Workflow`](#asff-workflow) en lugar de `RecordState`.

Si el estado del registro cambia de `ARCHIVED` a `ACTIVE` y el estado del flujo de trabajo del resultado es `NOTIFIED` o `RESOLVED`, el CSPM de Security Hub cambia automáticamente el estado del flujo de trabajo a `NEW`.

**Ejemplo**

```
"RecordState": "ACTIVE"
```

## Region
<a name="asff-region"></a>

Especifica Región de AWS desde dónde se generó la búsqueda.

El CSPM de Security Hub completa este atributo de forma automática para cada resultado. No puede actualizarlo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Ejemplo**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

Proporciona una lista de resultados relacionados con el resultado actual.

`RelatedFindings` solo debe actualizarse con la operación de la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). No debe actualizar este objeto con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Para las solicitudes [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html), los proveedores de resultados deben utilizar el objeto `RelatedFindings` en [`FindingProviderFields`](#asff-findingproviderfields).

Para ver las descripciones de los atributos `RelatedFindings`, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**Ejemplo**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## Corrección
<a name="asff-remediation"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) proporciona información sobre los pasos de remediación recomendados para abordar el resultado.

**Ejemplo**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## Muestra
<a name="asff-sample"></a>

Especifica si el resultado es un resultado de muestra.

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

El objeto `SourceUrl` brinda una URL que enlaza a una página sobre el resultado actual en el producto de resultados.

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html) brinda detalles de información de amenazas que están relacionados con un resultado.

**Ejemplo**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## Amenazas
<a name="asff-threats"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html) proporciona detalles sobre la amenaza detectada por un resultado.

**Ejemplo**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

Una lista de pares de cadenas de nombre/valor que están asociados con el resultado. Son campos definidos por el usuario y personalizados que se añaden a un hallazgo. Estos campos se pueden generar de forma automática a través de su configuración específica.

Los proveedores de resultados no deben utilizar este campo para los datos que genera el producto. En su lugar, los proveedores de búsqueda pueden usar el `ProductFields` campo para datos que no se asignen a ningún campo estándar del formato de búsqueda de AWS seguridad.

Estos campos solo se pueden actualizar con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Ejemplo**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

Brinda la veracidad de un resultado. Los productos de resultados pueden proporcionar el valor `UNKNOWN` para este campo. Un producto de resultados puede proporcionar este valor para este campo si hay un valor analógico significativo en el sistema del producto de resultados. Este campo suele ser rellenado por una determinación o acción del usuario después de que haya investigado un resultado.

Un proveedor de hallazgos puede proporcionar un valor inicial para este atributo, pero después no puede actualizarlo. Solo puede actualizar este atributo mediante [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

```
"VerificationState": "Confirmed"
```

## Vulnerabilidades
<a name="asff-vulnerabilities"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) proporciona una lista de vulnerabilidades asociadas a un resultado.

**Ejemplo**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## Flujo de trabajo
<a name="asff-workflow"></a>

El objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) proporciona información sobre el estado de la investigación de un resultado.

Este campo está pensado para que los clientes lo utilicen con herramientas de corrección, orquestación y emisión de tickets. No está destinado a proveedores de hallazgos.

Solo puede actualizar el campo `Workflow` con [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Los clientes también pueden actualizarlo desde la consola. Consulte [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md).

**Ejemplo**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (Retirado)
<a name="asff-workflowstate"></a>

Este objeto está retirado y se ha sustituido por el campo `Status` del objeto `Workflow`.

Este campo proporciona el estado del flujo de trabajo de un resultado. Los productos de hallazgos puede proporcionar el valor `NEW` para este campo. Un producto de hallazgos puede proporcionar este valor si hay un valor analógico significativo en el sistema del producto de hallazgos.

**Ejemplo**

```
"WorkflowState": "NEW"
```

# Objeto Resources del ASFF
<a name="asff-resources"></a>

En el formato AWS de comprobación de seguridad (ASFF), el `Resources` objeto proporciona información sobre los recursos que intervienen en una comprobación. Contiene una matriz de hasta 32 objetos de recursos. Para determinar el formato de los nombres de los recursos, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Para ver ejemplos de cada objeto de recurso, seleccione un recurso en la siguiente lista.

**Topics**
+ [Atributos de recursos en el formato ASFF](asff-resources-attributes.md)
+ [Recursos de AwsAmazonMQ en el ASFF](asff-resourcedetails-awsamazonmq.md)
+ [Recursos de AwsApiGateway en el ASFF](asff-resourcedetails-awsapigateway.md)
+ [Recursos de AwsAppSync en el ASFF](asff-resourcedetails-awsappsync.md)
+ [Recursos de AwsAthena en el ASFF](asff-resourcedetails-awsathena.md)
+ [Recursos de AwsAutoScaling en el ASFF](asff-resourcedetails-awsautoscaling.md)
+ [Recursos de AwsBackup en el ASFF](asff-resourcedetails-awsbackup.md)
+ [Recursos de AwsCertificateManager en el ASFF](asff-resourcedetails-awscertificatemanager.md)
+ [Recursos de AwsCloudFormation en el ASFF](asff-resourcedetails-awscloudformation.md)
+ [Recursos de AwsCloudFront en el ASFF](asff-resourcedetails-awscloudfront.md)
+ [Recursos de AwsCloudTrail en el ASFF](asff-resourcedetails-awscloudtrail.md)
+ [Recursos de AwsCloudWatch en el ASFF](asff-resourcedetails-awscloudwatch.md)
+ [Recursos de AwsCodeBuild en el ASFF](asff-resourcedetails-awscodebuild.md)
+ [Recursos de AwsDms en el ASFF](asff-resourcedetails-awsdms.md)
+ [Recursos de AwsDynamoDB en el ASFF](asff-resourcedetails-awsdynamodb.md)
+ [Recursos de AwsEc2 en el ASFF](asff-resourcedetails-awsec2.md)
+ [Recursos de AwsEcr en el ASFF](asff-resourcedetails-awsecr.md)
+ [Recursos de AwsEcs en el ASFF](asff-resourcedetails-awsecs.md)
+ [Recursos de AwsEfs en el ASFF](asff-resourcedetails-awsefs.md)
+ [Recursos de AwsEks en el ASFF](asff-resourcedetails-awseks.md)
+ [Recursos de AwsElasticBeanstalk en el ASFF](asff-resourcedetails-awselasticbeanstalk.md)
+ [Recursos de AwsElasticSearch en el ASFF](asff-resourcedetails-awselasticsearch.md)
+ [Recursos de AwsElb en el ASFF](asff-resourcedetails-awselb.md)
+ [Recursos de AwsEventBridge en el ASFF](asff-resourcedetails-awsevent.md)
+ [Recursos de AwsGuardDuty en el ASFF](asff-resourcedetails-awsguardduty.md)
+ [Recursos de AwsIam en el ASFF](asff-resourcedetails-awsiam.md)
+ [Recursos de AwsKinesis en el ASFF](asff-resourcedetails-awskinesis.md)
+ [Recursos de AwsKms en el ASFF](asff-resourcedetails-awskms.md)
+ [AwsLambda](asff-resourcedetails-awslambda.md)
+ [Recursos de AwsMsk en el ASFF](asff-resourcedetails-awsmsk.md)
+ [Recursos de AwsNetworkFirewall en el ASFF](asff-resourcedetails-awsnetworkfirewall.md)
+ [Recursos de AwsOpenSearchService en el ASFF](asff-resourcedetails-awsopensearchservice.md)
+ [Recursos de AwsRds en el ASFF](asff-resourcedetails-awsrds.md)
+ [Recursos de AwsRedshift en el ASFF](asff-resourcedetails-awsredshift.md)
+ [Recursos de AwsRoute53 en el ASFF](asff-resourcedetails-awsroute53.md)
+ [Recursos de AwsS3 en el ASFF](asff-resourcedetails-awss3.md)
+ [Recursos de AwsSageMaker en el ASFF](asff-resourcedetails-awssagemaker.md)
+ [Recursos de AwsSecretsManager en el ASFF](asff-resourcedetails-awssecretsmanager.md)
+ [Recursos de AwsSns en el ASFF](asff-resourcedetails-awssns.md)
+ [Recursos de AwsSqs en el ASFF](asff-resourcedetails-awssqs.md)
+ [Recursos de AwsSsm en el ASFF](asff-resourcedetails-awsssm.md)
+ [Recursos de AwsStepFunctions en el ASFF](asff-resourcedetails-awsstepfunctions.md)
+ [Recursos de AwsWaf en el ASFF](asff-resourcedetails-awswaf.md)
+ [Recursos de AwsXray en el ASFF](asff-resourcedetails-awsxray.md)
+ [Objeto CodeRepository en ASFF](asff-resourcedetails-coderepository.md)
+ [Objeto Container en ASFF](asff-resourcedetails-container.md)
+ [Objeto Other en ASFF](asff-resourcedetails-other.md)

# Atributos de recursos en el formato ASFF
<a name="asff-resources-attributes"></a>

A continuación, se muestran descripciones y ejemplos del `Resources` objeto en el formato de búsqueda AWS de seguridad (ASFF). Para obtener más información acerca de estos campos, consulte [Recursos](asff-required-attributes.md#Resources).

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

Identifica el nombre de recurso de Amazon (ARN) de la aplicación implicada en el resultado.

**Ejemplo**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

Identifica el nombre de la aplicación implicada en el resultado.

**Ejemplo**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

El campo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html) proporciona información sobre los datos confidenciales que se detectaron en el recurso.

**Ejemplo**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## Details
<a name="asff-resources-details"></a>

El campo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) proporciona información adicional sobre un único recurso que utiliza los objetos adecuados. Cada recurso debe facilitarse en un objeto de recurso independiente en el objeto `Resources`.

Tenga en cuenta que si el tamaño del resultado supera el máximo de 240 KB, el objeto `Details` se elimina del resultado. Para ver los resultados de control que utilizan AWS Config reglas, puede ver los detalles del recurso en la AWS Config consola.

Security Hub CSPM proporciona un conjunto de detalles de recursos disponibles para los tipos de recursos compatibles. Estos detalles corresponden a los valores del objeto `Type`. Siempre que sea posible, utilice los tipos proporcionados.

Por ejemplo, si el recurso es un bucket de S3, entonces establezca el recurso `Type` en `AwsS3Bucket` y proporcione los detalles del recurso en el objeto [`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket).

El objeto [`Other`](asff-resourcedetails-other.md) le permite proporcionar campos y valores personalizados. Utilice el objeto `Other` en los siguientes casos:
+ El tipo de recurso (el valor del recurso `Type`) no tiene un objeto con detalles correspondiente. Para proporcionar detalles sobre el recurso, utilice el objeto [`Other`](asff-resourcedetails-other.md).
+ El objeto del tipo de recurso no incluye todos los campos que desea rellenar. En este caso, utilice el objeto de detalles del tipo de recurso para rellenar los campos disponibles. Utilice el objeto `Other` para rellenar los campos que no están en el subcampo específico de ese objeto.
+ El tipo de recurso no es uno de los tipos proporcionados. En este caso, establezca `Resource.Type` en `Other` y utilice el objeto `Other` para rellenar los detalles.

**Ejemplo**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## Id
<a name="asff-resources-id"></a>

El identificador para el tipo de recurso determinado.

Para AWS los recursos que se identifican mediante Amazon Resource Names (ARNs), este es el ARN.

En el AWS caso de los recursos que faltan ARNs, este es el identificador definido por el AWS servicio que creó el recurso.

En el caso de AWS los que no son recursos, se trata de un identificador único que se asocia al recurso.

**Ejemplo**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## Partición
<a name="asff-resources-partition"></a>

La partición en la que se encuentra el recurso. Una partición es un grupo de Regiones de AWS. Cada una Cuenta de AWS tiene el alcance de una partición.

Se admiten las siguientes particiones:
+ `aws` – Regiones de AWS
+ `aws-cn`: regiones de China
+ `aws-us-gov` – AWS GovCloud (US) Region

**Ejemplo**

```
"Partition": "aws"
```

## Region
<a name="asff-resources-region"></a>

El código de la Región de AWS ubicación de este recurso. Para ver una lista de códigos de regiones, consulte [Puntos de conexión regionales](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).

**Ejemplo**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

Identifica la característica del recurso en el resultado. Un recurso es el objetivo de la actividad de resultado o el actor que realizó la actividad.

**Ejemplo**

```
"ResourceRole": "target"
```

## Tags
<a name="asff-resources-tags"></a>

Este campo proporciona información sobre la clave y el valor de la etiqueta del recurso implicado en un resultado. Puede etiquetar [los recursos compatibles con](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) el `GetResources` funcionamiento de la API de Grupos de recursos de AWS etiquetado. El CSPM de Security Hub llama a esta operación a través del [rol vinculado al servicio](using-service-linked-roles.md) y recupera las etiquetas de recursos si el `Resource.Id` campo AWS Security Finding Format (ASFF) se rellena con el ARN del recurso. AWS IDs Se omiten los recursos no válidos. 

Puede añadir etiquetas de recursos a las conclusiones que el Security Hub CSPM ingiera, incluidas las conclusiones de productos integrados Servicios de AWS y de terceros.

Cuando agrega etiquetas, se indican las etiquetas que estaban asociadas con un recurso en el momento en que se procesó el resultado. Puede incluir el atributo `Tags` solamente para los recursos que tienen una etiqueta asociada. Si un recurso no tiene etiqueta asociada, no incluya un atributo `Tags` en el hallazgo.

La inclusión de etiquetas de recursos en los resultados elimina la necesidad de crear canalizaciones de enriquecimiento de datos o enriquecer manualmente los metadatos de los resultados de seguridad. También puede usar etiquetas para buscar o filtrar los resultados e información y crear [reglas de automatización](automation-rules.md).

Para obtener información sobre las restricciones que se aplican a las etiquetas, consulte [Tag naming limits and requirements](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).

Solo puede proporcionar etiquetas que existan en un AWS recurso de este campo. Para proporcionar datos que no estén definidos en el formato de comprobación AWS de seguridad, utilice el subcampo de `Other` detalles.

**Ejemplo**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## Tipo
<a name="asff-resources-type"></a>

Tipo de recurso del que se proporcionan detalles.

Siempre que sea posible, utilice uno de los tipos de recursos proporcionados, como `AwsEc2Instance` o `AwsS3Bucket`.

Si el tipo de recurso no coincide con ninguno de los tipos de recursos proporcionados, establezca el recurso `Type` en `Other` y utilice el subcampo de detalles `Other` para rellenar los detalles.

Los valores admitidos se muestran en [Recursos](asff-resources.md).

**Ejemplo**

```
"Type": "AwsS3Bucket"
```

# Recursos de AwsAmazonMQ en el ASFF
<a name="asff-resourcedetails-awsamazonmq"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsAmazonMQ` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

`AwsAmazonMQBroker` proporciona información acerca de un agente de Amazon MQ, que es un entorno de agente de mensajes que se ejecuta en Amazon MQ.

En el ejemplo siguiente se muestra el ASFF para el objeto `AwsAmazonMQBroker`. Para ver las descripciones de los atributos `AwsAmazonMQBroker`, consulte [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# Recursos de AwsApiGateway en el ASFF
<a name="asff-resourcedetails-awsapigateway"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsApiGateway` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

El objeto `AwsApiGatewayRestApi` contiene información sobre una API de REST de la versión 1 de Amazon API Gateway.

A continuación, se muestra un ejemplo de resultado de `AwsApiGatewayRestApi` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsApiGatewayRestApi`, consulte [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

El objeto `AwsApiGatewayStage` proporciona información sobre una etapa de Amazon API Gateway de la versión 1.

A continuación, se muestra un ejemplo de resultado de `AwsApiGatewayStage` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsApiGatewayStage`, consulte [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayV2Api
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

El objeto `AwsApiGatewayV2Api` contiene información acerca de una API de versión 2 en Amazon API Gateway.

A continuación, se muestra un ejemplo de resultado de `AwsApiGatewayV2Api` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de `AwsApiGatewayV2Api` los atributos, consulte la [AwsApiGatewayversión 2 ApiDetails en la](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) referencia de la *AWS Security Hub API*.

**Ejemplo**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayV2-Stage
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage` contiene información sobre una etapa de la versión 2 de Amazon API Gateway.

A continuación, se muestra un ejemplo de resultado de `AwsApiGatewayV2Stage` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de `AwsApiGatewayV2Stage` los atributos, consulte la [AwsApiGatewayversión 2 StageDetails en la](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) referencia de la *AWS Security Hub API*.

**Ejemplo**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# Recursos de AwsAppSync en el ASFF
<a name="asff-resourcedetails-awsappsync"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsAppSync` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi`proporciona información sobre una API de AWS AppSync GraphQL, que es una construcción de nivel superior para su aplicación.

En el ejemplo siguiente se muestra el ASFF para el objeto `AwsAppSyncGraphQLApi`. Para ver las descripciones de los atributos `AwsAppSyncGraphQLApi`, consulte [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# Recursos de AwsAthena en el ASFF
<a name="asff-resourcedetails-awsathena"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsAthena` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup` proporciona información sobre un grupo de trabajo de Amazon Athena. Un grupo de trabajo le ayuda a separar los usuarios, los equipos, las aplicaciones o las cargas de trabajo. También le ayuda a establecer límites en el procesamiento de datos y a realizar un seguimiento de los costos.

En el ejemplo siguiente se muestra el ASFF para el objeto `AwsAthenaWorkGroup`. Para ver las descripciones de los atributos `AwsAthenaWorkGroup`, consulte [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# Recursos de AwsAutoScaling en el ASFF
<a name="asff-resourcedetails-awsautoscaling"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsAutoScaling` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

El objeto `AwsAutoScalingAutoScalingGroup` proporciona detalles sobre un grupo de escalado automático.

A continuación, se muestra un ejemplo de resultado de `AwsAutoScalingAutoScalingGroup` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsAutoScalingAutoScalingGroup`, consulte [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

El objeto `AwsAutoScalingLaunchConfiguration` proporciona detalles sobre la configuración de una característica de .

A continuación se muestra un ejemplo de `AwsAutoScalingLaunchConfiguration` búsqueda en el formato AWS de búsqueda de seguridad (ASFF).

Para ver las descripciones de los atributos `AwsAutoScalingLaunchConfiguration`, consulte [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# Recursos de AwsBackup en el ASFF
<a name="asff-resourcedetails-awsbackup"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsBackup` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

El objeto `AwsBackupBackupPlan` proporciona información sobre un proyecto de plan de copia de seguridad de AWS Backup . Un plan AWS Backup de respaldo es una expresión de política que define cuándo y cómo desea hacer una copia de seguridad de sus AWS recursos.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsBackupBackupPlan` objeto. Para ver las descripciones de los atributos `AwsBackupBackupPlan`, consulte [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

El objeto `AwsBackupBackupVault` proporciona información sobre un almacén de copias de seguridad de AWS Backup . Una bóveda AWS Backup de copias de seguridad es un contenedor que almacena y organiza las copias de seguridad.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsBackupBackupVault` objeto. Para ver las descripciones de los atributos `AwsBackupBackupVault`, consulte [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

El objeto `AwsBackupRecoveryPoint` proporciona información sobre una copia de seguridad de AWS Backup , también denominada punto de recuperación. Un punto de AWS Backup recuperación representa el contenido de un recurso en un momento específico.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsBackupRecoveryPoint` objeto. Para ver las descripciones de los atributos `AwsBackupBackupVault`, consulte [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# Recursos de AwsCertificateManager en el ASFF
<a name="asff-resourcedetails-awscertificatemanager"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsCertificateManager` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

El objeto `AwsCertificateManagerCertificate` proporciona detalles sobre un certificado de AWS Certificate Manager (ACM).

A continuación se muestra un ejemplo de `AwsCertificateManagerCertificate` búsqueda en el formato AWS de búsqueda de seguridad (ASFF). Para ver las descripciones de los atributos `AwsCertificateManagerCertificate`, consulte [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# Recursos de AwsCloudFormation en el ASFF
<a name="asff-resourcedetails-awscloudformation"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsCloudFormation` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

El objeto `AwsCloudFormationStack` proporciona detalles acerca de una pila de AWS CloudFormation que está anidada como un recurso en una plantilla de nivel superior.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsCloudFormationStack` objeto. Para ver las descripciones de los atributos `AwsCloudFormationStack`, consulte [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# Recursos de AwsCloudFront en el ASFF
<a name="asff-resourcedetails-awscloudfront"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsCloudFront` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

El `AwsCloudFrontDistribution` objeto proporciona detalles sobre una configuración de CloudFront distribución de Amazon.

A continuación, se muestra un ejemplo de resultado de `AwsCloudFrontDistribution` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsCloudFrontDistribution`, consulte [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# Recursos de AwsCloudTrail en el ASFF
<a name="asff-resourcedetails-awscloudtrail"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsCloudTrail` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

El objeto `AwsCloudTrailTrail` proporciona detalles sobre un seguimiento de AWS CloudTrail .

A continuación, se muestra un ejemplo de resultado de `AwsCloudTrailTrail` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsCloudTrailTrail`, consulte [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# Recursos de AwsCloudWatch en el ASFF
<a name="asff-resourcedetails-awscloudwatch"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsCloudWatch` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

El `AwsCloudWatchAlarm` objeto proporciona detalles sobre CloudWatch las alarmas de Amazon que vigilan una métrica o realizan una acción cuando una alarma cambia de estado.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsCloudWatchAlarm` objeto. Para ver las descripciones de los atributos `AwsCloudWatchAlarm`, consulte [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# Recursos de AwsCodeBuild en el ASFF
<a name="asff-resourcedetails-awscodebuild"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsCodeBuild` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

El objeto `AwsCodeBuildProject` proporciona información sobre un proyecto de AWS CodeBuild .

A continuación, se muestra un ejemplo de resultado de `AwsCodeBuildProject` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsCodeBuildProject`, consulte [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# Recursos de AwsDms en el ASFF
<a name="asff-resourcedetails-awsdms"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsDms` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

El `AwsDmsEndpoint` objeto proporciona información sobre un punto final AWS Database Migration Service (AWS DMS). Un punto de conexión proporciona información de conexión, tipo de almacén de datos y ubicación acerca de su almacén de datos. 

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsDmsEndpoint` objeto. Para ver las descripciones de los atributos `AwsDmsEndpoint`, consulte [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

El `AwsDmsReplicationInstance` objeto proporciona información sobre una instancia de replicación AWS Database Migration Service (AWS DMS). DMS utiliza una instancia de replicación para conectarse con su almacén de datos de origen, leer los datos de origen y formatear los datos para que el almacén de datos de destino pueda consumirlos.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsDmsReplicationInstance` objeto. Para ver las descripciones de los atributos `AwsDmsReplicationInstance`, consulte [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

El `AwsDmsReplicationTask` objeto proporciona información sobre una tarea de replicación AWS Database Migration Service (AWS DMS). Una tarea de replicación mueve un conjunto de datos desde el punto de conexión de origen al punto de conexión de destino.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsDmsReplicationInstance` objeto. Para ver las descripciones de los atributos `AwsDmsReplicationInstance`, consulte [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# Recursos de AwsDynamoDB en el ASFF
<a name="asff-resourcedetails-awsdynamodb"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los recursos. `AwsDynamoDB`

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

El objeto `AwsDynamoDbTable` proporciona detalles sobre una tabla de Amazon DynamoDB.

A continuación, se muestra un ejemplo de resultado de `AwsDynamoDbTable` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsDynamoDbTable`, consulte [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# Recursos de AwsEc2 en el ASFF
<a name="asff-resourcedetails-awsec2"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsEc2` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

El `AwsEc2ClientVpnEndpoint` objeto proporciona información sobre un AWS Client VPN punto final. El punto de conexión de Client VPN es el recurso que crea y configura para habilitar y administrar sesiones de Client VPN. Es el punto de terminación de todas las sesiones de Client VPN.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsEc2ClientVpnEndpoint` objeto. Para ver las descripciones de `AwsEc2ClientVpnEndpoint` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) de ClientVpnEndpointDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

El objeto `AwsEc2Eip` proporciona información sobre una dirección IP elástica.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2Eip` objeto. Para ver las descripciones de `AwsEc2Eip` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) de EipDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

El objeto `AwsEc2Instance` proporciona detalles sobre una instancia de base de datos de Amazon EC2.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsEc2Instance` objeto. Para ver las descripciones de `AwsEc2Instance` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) de InstanceDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

El objeto `AwsEc2LaunchTemplate` contiene detalles sobre una plantilla de lanzamiento de Amazon Elastic Compute Cloud que especifica la información de configuración de la instancia.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2LaunchTemplate` objeto. Para ver las descripciones de `AwsEc2LaunchTemplate` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) de LaunchTemplateDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

El objeto `AwsEc2NetworkAcl` contiene detalles sobre una lista de control de acceso (ACL) a la red de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2NetworkAcl` objeto. Para ver las descripciones de `AwsEc2NetworkAcl` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) de NetworkAclDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

El objeto `AwsEc2NetworkInterface` proporciona información acerca de una interfaz de red de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2NetworkInterface` objeto. Para ver las descripciones de `AwsEc2NetworkInterface` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) de NetworkInterfaceDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

El objeto `AwsEc2RouteTable` proporciona información sobre una tabla de enrutamiento de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2RouteTable` objeto. Para ver las descripciones de `AwsEc2RouteTable` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) de RouteTableDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

El objeto `AwsEc2SecurityGroup` describe un grupo de seguridad de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2SecurityGroup` objeto. Para ver las descripciones de `AwsEc2SecurityGroup` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) de SecurityGroupDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

El objeto `AwsEc2Subnet` proporciona información sobre una subred de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2Subnet` objeto. Para ver las descripciones de `AwsEc2Subnet` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) de SubnetDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

El `AwsEc2TransitGateway` objeto proporciona detalles sobre una puerta de enlace de tránsito de Amazon EC2 que interconecta las nubes privadas virtuales (VPCs) y las redes locales.

El siguiente es un ejemplo de `AwsEc2TransitGateway` hallazgo en el formato de búsqueda de AWS seguridad (ASFF). Para ver las descripciones de `AwsEc2TransitGateway` los atributos, consulta la sección [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) de TransitGatewayDetails la *Referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

El objeto `AwsEc2Volume` proporciona información detallada sobre un volumen de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2Volume` objeto. Para ver las descripciones de `AwsEc2Volume` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) de VolumeDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

El objeto `AwsEc2Vpc` proporciona información detallada sobre una VPC de Amazon EC2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2Vpc` objeto. Para ver las descripciones de `AwsEc2Vpc` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) de VpcDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

El objeto `AwsEc2VpcEndpointService` contiene detalles sobre la configuración del servicio para un servicio de punto de conexión de VPC.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2VpcEndpointService` objeto. Para ver las descripciones de `AwsEc2VpcEndpointService` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) de VpcEndpointServiceDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

El `AwsEc2VpcPeeringConnection` objeto proporciona detalles sobre la conexión de red entre dos VPCs.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEc2VpcPeeringConnection` objeto. Para ver las descripciones de `AwsEc2VpcPeeringConnection` los atributos, consulta el apartado [AwsEc2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) de VpcPeeringConnectionDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# Recursos de AwsEcr en el ASFF
<a name="asff-resourcedetails-awsecr"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsEcr` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

El objeto `AwsEcrContainerImage` proporciona información sobre una imagen de Amazon ECR.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcrContainerImage` objeto. Para ver las descripciones de los atributos `AwsEcrContainerImage`, consulte [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

El objeto `AwsEcrRepository` proporciona información sobre un repositorio de Amazon Elastic Container Registry.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcrRepository` objeto. Para ver las descripciones de los atributos `AwsEcrRepository`, consulte [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# Recursos de AwsEcs en el ASFF
<a name="asff-resourcedetails-awsecs"></a>

Los siguientes son ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsEcs` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

El objeto `AwsEcsCluster` proporciona detalles sobre un clúster de Amazon Elastic Container Service.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcsCluster` objeto. Para ver las descripciones de los atributos `AwsEcsCluster`, consulte [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

El objeto de `AwsEcsContainer` contiene detalles sobre un contenedor Amazon ECS.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcsContainer` objeto. Para ver las descripciones de los atributos `AwsEcsContainer`, consulte [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

El objeto `AwsEcsService` proporciona detalles acerca de un servicio dentro de un clúster de Amazon ECS.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcsService` objeto. Para ver las descripciones de los atributos `AwsEcsService`, consulte [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

El objeto `AwsEcsTask` proporciona detalles sobre una tarea de Amazon ECS. 

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcsTask` objeto. Para ver las descripciones de los atributos `AwsEcsTask`, consulte [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

El objeto `AwsEcsTaskDefinition` contiene detalles sobre la definición de una tarea. Una definición de tarea describe las definiciones de contenedor y volumen de una tarea de Amazon Elastic Container Service.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEcsTaskDefinition` objeto. Para ver las descripciones de los atributos `AwsEcsTaskDefinition`, consulte [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# Recursos de AwsEfs en el ASFF
<a name="asff-resourcedetails-awsefs"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsEfs` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

El objeto `AwsEfsAccessPoint` proporciona detalles sobre los archivos almacenados en Amazon Elastic File System.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsEfsAccessPoint` objeto. Para ver las descripciones de los atributos `AwsEfsAccessPoint`, consulte [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# Recursos de AwsEks en el ASFF
<a name="asff-resourcedetails-awseks"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsEks` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

El objeto `AwsEksCluster` proporciona detalles sobre un clúster de Amazon EKS.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEksCluster` objeto. Para ver las descripciones de los atributos `AwsEksCluster`, consulte [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# Recursos de AwsElasticBeanstalk en el ASFF
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los recursos. `AwsElasticBeanstalk`

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

El objeto `AwsElasticBeanstalkEnvironment` contiene detalles sobre un entorno de AWS Elastic Beanstalk .

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsElasticBeanstalkEnvironment` objeto. Para ver las descripciones de los atributos `AwsElasticBeanstalkEnvironment`, consulte [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# Recursos de AwsElasticSearch en el ASFF
<a name="asff-resourcedetails-awselasticsearch"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsElasticSearch` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

El `AwsElasticSearchDomain` objeto proporciona detalles sobre un dominio OpenSearch de Amazon Service.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsElasticSearchDomain` objeto. Para ver las descripciones de los atributos `AwsElasticSearchDomain`, consulte [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# Recursos de AwsElb en el ASFF
<a name="asff-resourcedetails-awselb"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsElb` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

El objeto `AwsElbLoadBalancer` contiene detalles sobre un Equilibrador de carga clásico.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsElbLoadBalancer` objeto. Para ver las descripciones de los atributos `AwsElbLoadBalancer`, consulte [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

El objeto `AwsElbv2LoadBalancer` proporciona información sobre un balanceador de carga.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsElbv2LoadBalancer` objeto. Para ver las descripciones de `AwsElbv2LoadBalancer` los atributos, consulta el apartado [AwsElbv2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) de LoadBalancerDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# Recursos de AwsEventBridge en el ASFF
<a name="asff-resourcedetails-awsevent"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsEventBridge` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

El `AwsEventSchemasRegistry` objeto proporciona información sobre un registro de EventBridge esquemas de Amazon. Un esquema define la estructura de los eventos a los que se envían EventBridge. Los registros de esquemas son contenedores que recopilan y agrupan lógicamente sus esquemas.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsEventSchemasRegistry` objeto. Para ver las descripciones de los atributos `AwsEventSchemasRegistry`, consulte [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

El `AwsEventsEndpoint` objeto proporciona información sobre un punto final EventBridge global de Amazon. Un punto de conexión puede mejorar la disponibilidad de su aplicación al hacerla tolerante a los fallos regionales.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEventsEndpoint` objeto. Para ver las descripciones de los atributos `AwsEventsEndpoint`, consulte [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

El `AwsEventsEventbus` objeto proporciona información sobre un punto final EventBridge global de Amazon. Un punto de conexión puede mejorar la disponibilidad de su aplicación al hacerla tolerante a los fallos regionales.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsEventsEventbus` objeto. Para ver las descripciones de los atributos `AwsEventsEventbus`, consulte [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# Recursos de AwsGuardDuty en el ASFF
<a name="asff-resourcedetails-awsguardduty"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsGuardDuty` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

El `AwsGuardDutyDetector` objeto proporciona información sobre un GuardDuty detector de Amazon. Un detector es un objeto que representa el GuardDuty servicio. Se requiere un detector GuardDuty para que entre en funcionamiento.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsGuardDutyDetector` objeto. Para ver las descripciones de los atributos `AwsGuardDutyDetector`, consulte [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# Recursos de AwsIam en el ASFF
<a name="asff-resourcedetails-awsiam"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsIam` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

El objeto `AwsIamAccessKey` contiene detalles sobre una clave de acceso de IAM relacionada con un resultado.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsIamAccessKey` objeto. Para ver las descripciones de los atributos `AwsIamAccessKey`, consulte [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

El objeto `AwsIamGroup` contiene detalles acerca de un grupo de IAM.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsIamGroup` objeto. Para ver las descripciones de los atributos `AwsIamGroup`, consulte [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

El objeto `AwsIamPolicy` representa una política de permisos de IAM.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsIamPolicy` objeto. Para ver las descripciones de los atributos `AwsIamPolicy`, consulte [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

El objeto `AwsIamRole` contiene información sobre un rol de IAM, incluidas todas las políticas del rol.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsIamRole` objeto. Para ver las descripciones de los atributos `AwsIamRole`, consulte [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

El objeto `AwsIamUser` proporciona información sobre un usuario.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsIamUser` objeto. Para ver las descripciones de los atributos `AwsIamUser`, consulte [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# Recursos de AwsKinesis en el ASFF
<a name="asff-resourcedetails-awskinesis"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsKinesis` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

El objeto `AwsKinesisStream` proporciona detalles sobre Amazon Kinesis Data Streams.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsKinesisStream` objeto. Para ver las descripciones de los atributos `AwsKinesisStream`, consulte [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# Recursos de AwsKms en el ASFF
<a name="asff-resourcedetails-awskms"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsKms` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

El `AwsKmsKey` objeto proporciona detalles sobre un AWS KMS key.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsKmsKey` objeto. Para ver las descripciones de los atributos `AwsKmsKey`, consulte [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsLambda` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

El objeto `AwsLambdaFunction` proporciona detalles sobre la configuración de una función de Lambda.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsLambdaFunction` objeto. Para ver las descripciones de los atributos `AwsLambdaFunction`, consulte [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

El objeto `AwsLambdaLayerVersion` proporciona detalles sobre una versión de la capa de Lambda.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsLambdaLayerVersion` objeto. Para ver las descripciones de los atributos `AwsLambdaLayerVersion`, consulte [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# Recursos de AwsMsk en el ASFF
<a name="asff-resourcedetails-awsmsk"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsMsk` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

El objeto `AwsMskCluster` proporciona información sobre un clúster de Amazon Managed Streaming para Apache Kafka (Amazon MSK).

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsMskCluster` objeto. Para ver las descripciones de los atributos `AwsMskCluster`, consulte [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# Recursos de AwsNetworkFirewall en el ASFF
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsNetworkFirewall` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

El objeto `AwsNetworkFirewallFirewall` contiene detalles acerca de un firewall AWS Network Firewall .

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsNetworkFirewallFirewall` objeto. Para ver las descripciones de los atributos `AwsNetworkFirewallFirewall`, consulte [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

El objeto `AwsNetworkFirewallFirewallPolicy` proporciona detalles sobre una política de firewall. Una política de firewall define el comportamiento de un firewall de red.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsNetworkFirewallFirewallPolicy` objeto. Para ver las descripciones de los atributos `AwsNetworkFirewallFirewallPolicy`, consulte [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

El objeto `AwsNetworkFirewallRuleGroup` proporciona detalles sobre un grupo de reglas AWS Network Firewall . Los grupos de reglas se utilizan para inspeccionar y controlar el tráfico de red. Los grupos de reglas sin estado se aplican a paquetes individuales. Los grupos de reglas con estado se aplican a los paquetes en el contexto de su flujo de tráfico.

En las políticas de firewall se hace referencia a los grupos de reglas.

Los ejemplos siguientes muestran el formato AWS de búsqueda de seguridad (ASFF) del `AwsNetworkFirewallRuleGroup` objeto. Para ver las descripciones de los atributos `AwsNetworkFirewallRuleGroup`, consulte [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo: grupo de reglas sin estado**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Ejemplo: grupo de reglas con estado**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

La siguiente es una lista de ejemplos de valores válidos para los atributos `AwsNetworkFirewallRuleGroup`:
+ `Action`

  Valores válidos: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  Valores válidos: `IP` \$1 `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` \$1 `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  Valores válidos: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  Valores válidos: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# Recursos de AwsOpenSearchService en el ASFF
<a name="asff-resourcedetails-awsopensearchservice"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsOpenSearchService` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

El `AwsOpenSearchServiceDomain` objeto contiene información sobre un dominio OpenSearch de Amazon Service.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsOpenSearchServiceDomain` objeto. Para ver las descripciones de los atributos `AwsOpenSearchServiceDomain`, consulte [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# Recursos de AwsRds en el ASFF
<a name="asff-resourcedetails-awsrds"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsRds` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

El objeto `AwsRdsDbCluster` proporciona detalles sobre un clúster de base de datos de Amazon RDS.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsDbCluster` objeto. Para ver las descripciones de los atributos `AwsRdsDbCluster`, consulte [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

El objeto `AwsRdsDbClusterSnapshot` contiene información acerca de una instantánea de clúster de base de datos de Amazon RDS.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsDbClusterSnapshot` objeto. Para ver las descripciones de los atributos `AwsRdsDbClusterSnapshot`, consulte [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

El objeto `AwsRdsDbInstance` proporciona detalles sobre una instancia de base de datos de RDS de Amazon.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsDbInstance` objeto. Para ver las descripciones de los atributos `AwsRdsDbInstance`, consulte [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

El objeto `AwsRdsDbSecurityGroup` contiene información sobre Amazon Relational Database Service (RDS).

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsDbSecurityGroup` objeto. Para ver las descripciones de los atributos `AwsRdsDbSecurityGroup`, consulte [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

El objeto `AwsRdsDbSnapshot` contiene detalles acerca de una instantánea de clúster de base de datos de Amazon RDS.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsDbSnapshot` objeto. Para ver las descripciones de los atributos `AwsRdsDbSnapshot`, consulte [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

`AwsRdsEventSubscription` contiene detalles sobre una suscripción de notificación de eventos de RDS. La suscripción permite a RDS publicar eventos en un tema de SNS.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRdsEventSubscription` objeto. Para ver las descripciones de los atributos `AwsRdsEventSubscription`, consulte [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# Recursos de AwsRedshift en el ASFF
<a name="asff-resourcedetails-awsredshift"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsRedshift` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

El objeto `AwsRedshiftCluster` contiene detalles sobre un clúster de Amazon Redshift.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRedshiftCluster` objeto. Para ver las descripciones de los atributos `AwsRedshiftCluster`, consulte [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# Recursos de AwsRoute53 en el ASFF
<a name="asff-resourcedetails-awsroute53"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsRoute53` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

El objeto `AwsRoute53HostedZone` proporciona información acerca de una zona alojada de Amazon Route 53, incluidos los cuatro servidores de nombres asignados a la zona alojada. Una zona alojada representa un conjunto de registros que se pueden administrar juntos y que pertenecen a un único nombre de dominio principal.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsRoute53HostedZone` objeto. Para ver las descripciones de `AwsRoute53HostedZone` los atributos, consulta [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) en la *Referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# Recursos de AwsS3 en el ASFF
<a name="asff-resourcedetails-awss3"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsS3` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

`AwsS3AccessPoint` proporciona información acerca de un punto de acceso de Amazon S3. Los puntos de acceso de S3 son puntos de conexión de red con nombre que están asociados a los buckets que se pueden utilizar para llevar a cabo operaciones con objetos de S3.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsS3AccessPoint` objeto. *Para ver las descripciones de `AwsS3AccessPoint` los atributos, consulte [AWSS3 AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) en la referencia de la AWS Security Hub API.*

**Ejemplo**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

`AwsS3AccountPublicAccessBlock` proporciona información sobre la configuración del bloque de acceso público de Amazon S3 para las cuentas.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsS3AccountPublicAccessBlock` objeto. *Para ver las descripciones de `AwsS3AccountPublicAccessBlock` los atributos, consulte [AWSS3 AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) en la referencia de la AWS Security Hub API.*

**Ejemplo**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

El objeto `AwsS3Bucket` proporciona información detallada sobre un bucket de Amazon S3.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsS3Bucket` objeto. *Para ver las descripciones de `AwsS3Bucket` los atributos, consulte [AWSS3 BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) en la referencia de la AWS Security Hub API.*

**Ejemplo**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

El objeto `AwsS3Object` proporciona información sobre un objeto de Amazon S3.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsS3Object` objeto. *Para ver las descripciones de `AwsS3Object` los atributos, consulte [AWSS3 ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) en la referencia de la AWS Security Hub API.*

**Ejemplo**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# Recursos de AwsSageMaker en el ASFF
<a name="asff-resourcedetails-awssagemaker"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsSageMaker` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

El `AwsSageMakerNotebookInstance` objeto proporciona información sobre una instancia de Amazon SageMaker AI notebook, que es una instancia de computación de aprendizaje automático que ejecuta la aplicación Jupyter Notebook.

En el siguiente ejemplo, se muestra el formato AWS de búsqueda de seguridad (ASFF) del objeto. `AwsSageMakerNotebookInstance` Para ver las descripciones de los atributos `AwsSageMakerNotebookInstance`, consulte [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# Recursos de AwsSecretsManager en el ASFF
<a name="asff-resourcedetails-awssecretsmanager"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsSecretsManager` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

El objeto `AwsSecretsManagerSecret` proporciona detalles sobre un secreto de Secrets Manager.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsSecretsManagerSecret` objeto. Para ver las descripciones de los atributos `AwsSecretsManagerSecret`, consulte [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# Recursos de AwsSns en el ASFF
<a name="asff-resourcedetails-awssns"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsSns` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

El objeto `AwsSnsTopic` contiene detalles sobre un tema de Amazon Simple Notification Service.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsSnsTopic` objeto. Para ver las descripciones de los atributos `AwsSnsTopic`, consulte [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# Recursos de AwsSqs en el ASFF
<a name="asff-resourcedetails-awssqs"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsSqs` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

El objeto `AwsSqsQueue` contiene información acerca de una cola de Amazon Simple Queue Service.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsSqsQueue` objeto. Para ver las descripciones de los atributos `AwsSqsQueue`, consulte [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# Recursos de AwsSsm en el ASFF
<a name="asff-resourcedetails-awsssm"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para los `AwsSsm` recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

El objeto `AwsSsmPatchCompliance` proporciona información sobre el estado de un parche en una instancia en función de la línea de base de revisiones que se utilizó para parchear la instancia.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsSsmPatchCompliance` objeto. Para ver las descripciones de los atributos `AwsSsmPatchCompliance`, consulte [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# Recursos de AwsStepFunctions en el ASFF
<a name="asff-resourcedetails-awsstepfunctions"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsStepFunctions` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

El objeto `AwsStepFunctionStateMachine` proporciona información sobre una máquina de estados de AWS Step Functions , que es un flujo de trabajo que consta de una serie de pasos basados en eventos.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsStepFunctionStateMachine` objeto. Para ver las descripciones de los atributos `AwsStepFunctionStateMachine`, consulte [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# Recursos de AwsWaf en el ASFF
<a name="asff-resourcedetails-awswaf"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsWaf` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

El objeto `AwsWafRateBasedRule` contiene detalles sobre una regla basada en tasas de AWS WAF para los recursos globales. Una regla AWS WAF basada en tasas proporciona ajustes para indicar cuándo permitir, bloquear o contar una solicitud. Las regla basada en tasas incluyen la cantidad de solicitudes que llegan durante un período de tiempo específico.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsWafRateBasedRule` objeto. Para ver las descripciones de los atributos `AwsWafRateBasedRule`, consulte [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

El objeto `AwsWafRegionalRateBasedRule` contiene detalles sobre una regla basada en tasas para los recursos Regionales. Una regla basada en tasas proporciona configuraciones para indicar cuándo permitir, bloquear o contar una solicitud. Las regla basada en tasas incluyen la cantidad de solicitudes que llegan durante un período de tiempo específico.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsWafRegionalRateBasedRule` objeto. Para ver las descripciones de los atributos `AwsWafRegionalRateBasedRule`, consulte [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

El `AwsWafRegionalRule` objeto proporciona detalles sobre una regla AWS WAF regional. Esta regla identifica las solicitudes web que desea permitir, bloquear o contar.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsWafRegionalRule` objeto. Para ver las descripciones de los atributos `AwsWafRegionalRule`, consulte [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

El objeto `AwsWafRegionalRuleGroup` proporciona detalles sobre un grupo de reglas Regionales de AWS WAF . Un grupo de reglas es una colección de reglas predefinidas que agrega a una lista de control de acceso web (ACL web).

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsWafRegionalRuleGroup` objeto. Para ver las descripciones de los atributos `AwsWafRegionalRuleGroup`, consulte [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl`proporciona detalles sobre una lista AWS WAF regional de control de acceso a la web (ACL web). Una ACL web contiene las reglas que identifican las solicitudes que desea permitir, bloquear o contar.

A continuación, se muestra un ejemplo de resultado de `AwsWafRegionalWebAcl` en Formato de resultados de seguridad de AWS (ASFF). Para ver las descripciones de los atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule`proporciona información sobre una AWS WAF regla. Una AWS WAF regla identifica las solicitudes web que desea permitir, bloquear o contar.

El siguiente es un ejemplo de `AwsWafRule` búsqueda en el formato AWS de búsqueda de seguridad (ASFF). Para ver las descripciones de los atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup`proporciona información sobre un grupo de AWS WAF reglas. Un grupo de reglas de AWS WAF es un conjunto de reglas predefinidas que agrega a una lista de control de acceso web (ACL web).

A continuación se muestra un ejemplo de `AwsWafRuleGroup` hallazgo en el formato de búsqueda de AWS seguridad (ASFF). Para ver las descripciones de los atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

El `AwsWafv2RuleGroup` objeto proporciona detalles sobre un grupo de reglas AWS WAF V2.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsWafv2RuleGroup` objeto. Para ver las descripciones de `AwsWafv2RuleGroup` los atributos, consulta el apartado [AwsWafv2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) de RuleGroupDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

El `AwsWafWebAcl` objeto proporciona detalles sobre una ACL AWS WAF web.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsWafWebAcl` objeto. Para ver las descripciones de los atributos `AwsWafWebAcl`, consulte [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

El `AwsWafv2WebAcl` objeto proporciona detalles sobre una ACL web AWS WAF V2.

El siguiente ejemplo muestra el formato AWS de búsqueda de seguridad (ASFF) del `AwsWafv2WebAcl` objeto. Para ver las descripciones de `AwsWafv2WebAcl` los atributos, consulta el apartado [AwsWafv2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) de WebAclDetails la *referencia de la AWS Security Hub API*.

**Ejemplo**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# Recursos de AwsXray en el ASFF
<a name="asff-resourcedetails-awsxray"></a>

A continuación se muestran ejemplos de la sintaxis del formato de búsqueda de AWS seguridad (ASFF) para `AwsXray` los recursos.

AWS Security Hub CSPM normaliza los hallazgos de diversas fuentes en ASFF. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

El `AwsXrayEncryptionConfig` objeto contiene información sobre la configuración de cifrado de AWS X-Ray.

En el siguiente ejemplo, se muestra el formato de búsqueda de AWS seguridad (ASFF) del `AwsXrayEncryptionConfig` objeto. Para ver las descripciones de los atributos `AwsXrayEncryptionConfig`, consulte [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html) en la *referencia de la API de AWS Security Hub *.

**Ejemplo**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# Objeto CodeRepository en ASFF
<a name="asff-resourcedetails-coderepository"></a>

El `CodeRepository` objeto proporciona información sobre un repositorio de código externo que ha conectado a AWS los recursos y que ha configurado Amazon Inspector para detectar vulnerabilidades.

El siguiente ejemplo muestra la sintaxis del formato de búsqueda de AWS seguridad (ASFF) del `CodeRepository` objeto. Para ver las descripciones de los atributos `CodeRepository`, consulte [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html) en la *referencia de la API de AWS Security Hub *. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

**Ejemplo**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# Objeto Container en ASFF
<a name="asff-resourcedetails-container"></a>

En el siguiente ejemplo, se muestra la sintaxis del formato de búsqueda de AWS seguridad (ASFF) del `Container` objeto. Para ver las descripciones de los atributos `Container`, consulte [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html) en la *referencia de la API de AWS Security Hub *. Para obtener información general sobre el ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

**Ejemplo**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# Objeto Other en ASFF
<a name="asff-resourcedetails-other"></a>

En el formato AWS de búsqueda de seguridad (ASFF), el `Other` objeto especifica campos y valores personalizados. Para obtener más información acerca del ASFF, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

Al usar el objeto `Other`, puede especificar campos personalizados y valores para un recurso. Puede usar el objeto `Other` en los siguientes casos:
+ El tipo de recurso no tiene el objeto `Details` correspondiente. Para especificar detalles de un recurso, utilice el objeto `Other`.
+ El objeto `Details` para el tipo de recurso no incluye todos los atributos que desea especificar. En este caso, utilice el objeto `Details` correspondiente al tipo de recurso para especificar los atributos disponibles. Use el objeto `Other` para especificar los atributos que no están en el objeto `Details` correspondiente al tipo.
+ El tipo de recurso no es uno de los tipos proporcionados. En este caso, establezca `Resource.Type` en `Other` y utilice el objeto `Other` para especificar los detalles.

**Tipo:** mapa de hasta 50 pares clave-valor

Cada par clave-valor debe cumplir los siguientes requisitos.
+ La clave debe tener menos de 128 caracteres.
+ El valor debe tener menos de 1024 caracteres.

# Visualización de productos de información en el CSPM de Security Hub
<a name="securityhub-insights"></a>

En AWS Security Hub CSPM, una *visión* es una colección de hallazgos relacionados. La información puede identificar un área de seguridad específica que requiera atención e intervención. Por ejemplo, una información podría señalar EC2 casos objeto de hallazgos que detecten prácticas de seguridad inadecuadas. Una información reúne los resultados de todos los proveedores de resultados.

Cada información se define mediante una instrucción GROUP BY y filtros opcionales. La instrucción GROUP BY indica cómo agrupar los resultados coincidentes e identifica el tipo de elemento al que se aplica la información. Por ejemplo, si una información se agrupa por identificador de recurso, la información genera una lista de identificadores de recursos. Los filtros opcionales reducen los resultados coincidentes para la información. Por ejemplo, es posible que solo desee ver resultados de proveedores específicos o resultados que estén relacionados con tipos específicos de recursos.

El CSPM de Security Hub ofrece varios productos de información administrados integrados. No puede modificar ni eliminar la información administrada. Para realizar un seguimiento de los problemas de seguridad que son exclusivos de su AWS entorno y uso, puede crear información personalizada.

La página **Información de la consola CSPM de AWS Security Hub muestra la lista de información** disponible.

De forma predeterminada, la lista muestra tanto los hallazgos gestionados como los personalizados. Para filtrar la lista de información en función del tipo de hallazgos, elija el tipo en el menú desplegable que se encuentra junto al campo de filtro.
+ Para mostrar todos los hallazgos disponibles, seleccione **Todos los hallazgos**. Esta es la opción predeterminada.
+ Para mostrar solo los productos de información administrados, elija **Productos de información administrados del CSPM de Security Hub**.
+ Para mostrar solo información personalizada, elija **Hallazgos personalizados**.

También puede filtrar la lista de información en función del nombre de cada una. Para hacerlo, en el campo de filtro, escriba el texto que se utilizará para filtrar la lista. El filtro no distingue entre mayúsculas y minúsculas. El filtro busca hallazgos que contengan el texto en cualquier parte del nombre.

Una información solo devuelve resultados si ha habilitado integraciones o estándares que produzcan resultados coincidentes. Por ejemplo, la información administrada **29. Principales recursos por número de comprobaciones CIS no superadas** solo devuelve resultados si habilita una versión del estándar del Indicador de referencia de AWS de Center for Internet Security (CIS).

# Revisión de productos de información y medidas al respecto en el CSPM de Security Hub
<a name="securityhub-insights-view-take-action"></a>

Para cada información, AWS Security Hub CSPM primero determina las conclusiones que coinciden con los criterios del filtro y, a continuación, utiliza el atributo de agrupación para agrupar las conclusiones coincidentes.

Desde la página **Información** en la consola puede ver y tomar medidas sobre los resultados y los hallazgos.

Si habilita la agregación entre regiones, los resultados de la información administrada (cuando haya iniciado sesión en la región de agregación) incluirán los resultados de la región de agregación y de las regiones vinculadas. Los resultados de la información personalizada, si la información no se filtra por región, también incluyen los resultados de la región de agregación y las regiones vinculadas (cuando haya iniciado sesión en la región de agregación). En otras regiones, los resultados de la información son solo para esa región.

Para obtener más información acerca de la configuración de agregación entre regiones, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

## Visualización y adopción de medidas sobre los resultados de la información
<a name="securityhub-insight-results-console"></a>

Los resultados del conocimiento constan de una lista agrupada de los resultados del conocimiento. Por ejemplo, si la información se agrupa por identificadores de recursos, los resultados de la información son la lista de identificadores del recurso. Cada elemento de la lista de resultados indica el número de hallazgos coincidentes para ese elemento.

Si los resultados se agrupan por identificador de recurso o tipo de recurso, los resultados incluyen todos los recursos de los hallazgos correspondientes. Esto incluye los recursos que tienen un tipo diferente del tipo de recurso especificado en los criterios del filtro. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En la consola del CSPM de Security Hub, la lista de resultados se ordena desde los que presentan mayor coincidencia hasta los de menor coincidencia. El CSPM de Security Hub solo puede mostrar 100 hallazgos. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Además de la lista de resultados, los resultados de conocimientos muestran un conjunto de gráficos que resume el número de hallazgos coincidentes para los siguientes atributos.
+ **Etiqueta de gravedad**: número de resultados para cada etiqueta de gravedad
+ **Cuenta de AWS ID**: los cinco principales representan los resultados IDs coincidentes
+ **Tipo de recurso**: los cinco tipos de recursos principales para los resultados correspondientes
+ **ID del recurso**: los cinco recursos principales IDs para encontrar los resultados coincidentes
+ **Nombre del producto**: los cinco principales proveedores de hallazgos para los resultados correspondientes

Si ha configurado acciones personalizadas, puede enviar los resultados seleccionados a una acción personalizada. La acción debe estar asociada a una CloudWatch regla de Amazon para el tipo de `Security Hub Insight Results` evento. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md). Si no ha configurado acciones personalizadas, el menú **Acciones** está desactivado.

------
#### [ Security Hub CSPM console ]

**Para visualizar y adoptar medidas sobre los resultados de la información (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

1. Seleccione la casilla de verificación de cada resultado que desee enviar a la acción personalizada.

1. En el menú **Actions (Acciones)**, elija la acción personalizada.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para ver los resultados de la información y tomar medidas al respecto (API,) AWS CLI**

Para ver los resultados de producto de información, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

Para identificar la información para la que obtener resultados, necesita el ARN de la información. Para obtener información ARNs personalizada, utilice la operación de la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API o el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

En el siguiente ejemplo, se recuperan los resultados de la información especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para obtener información acerca de cómo crear acciones personalizadas mediante programación, consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).

------

## Para visualizar y tomar medidas sobre los hallazgos en los resultados de la información (consola)
<a name="securityhub-insight-findings-console"></a>

Desde una lista de hallazgos de un producto de información en la consola del CSPM de Security Hub, puede mostrar la lista de resultados para cada hallazgo.

**Para visualizar y tomar medidas sobre los resultados de la información (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

1. Para mostrar la lista de hallazgos de un resultado de conocimiento, elija el elemento de la lista de resultados. La lista de hallazgos muestra los hallazgos activos del resultado de conocimiento seleccionado que tienen un estado de flujo de trabajo `NEW` o `NOTIFIED`.

En la lista de resultados puede realizar las siguientes acciones:
+ [Filtrado de resultados en el CSPM de Security Hub](securityhub-findings-manage.md)
+ [Revisión de los detalles y el historial de resultados](securityhub-findings-viewing.md#finding-view-details-console)
+ [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md)
+ [Envío de resultados a una acción personalizada del CSPM de Security Hub](findings-custom-action.md)

# Productos de información administrados en el CSPM de Security Hub
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM proporciona varios conocimientos gestionados.

Los productos de información administrados del CSPM de Security Hub no se pueden modificar ni eliminar. Puede [ver y tomar medidas sobre los resultados y hallazgos de conocimientos](securityhub-insights-view-take-action.md). También puede [utilizar conocimientos administrados como base para una nuevo conocimiento personalizado](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Al igual que con todos los conocimientos, un conocimiento administrado solo devuelve resultados si ha habilitado integraciones de productos o estándares de seguridad que pueden producir hallazgos coincidentes.

En el caso de los hallazgos agrupados en base al identificador de recursos, los resultados incluyen los identificadores de todos los recursos en los elementos que coinciden con los parámetros. Aquí se incluyen los recursos que poseen un tipo diferente al tipo de recurso que se indica en los criterios del filtro. Por ejemplo, el hallazgo 2 en la siguiente lista identifica los resultados asociados a los buckets de Amazon S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En este momento, el CSPM de Security Hub ofrece los siguientes productos de información administrados:

**1. AWS recursos con la mayoría de los hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/1`  
**Agrupados por**: identificador de recursos  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**2. Buckets de S3 con permisos de lectura o escritura públicos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/10`  
**Agrupados por**: identificador de recursos  
**Filtros de resultados:**  
+ El tipo comienza con `Effects/Data Exposure`
+ El tipo de recurso es `AwsS3Bucket`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**3. AMIs que están generando la mayoría de los hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/3`  
**Agrupados por:** ID de imagen de EC2 instancia  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**4. EC2 instancias involucradas en tácticas, técnicas y procedimientos conocidos (TTPs)**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/14`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `TTPs`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**5. AWS directores con actividad sospechosa en las claves de acceso**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/9`  
**Agrupados por**: nombre de entidad principal de la clave de acceso de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamAccessKey`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**6. AWS instancias de recursos que no cumplen con los estándares o las mejores prácticas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/6`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo es `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**7. AWS recursos asociados a la posible exfiltración de datos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/7`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con Exfiltración/ Effects/Data 
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**8. AWS recursos asociados al consumo no autorizado de recursos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/8`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Effects/Resource Consumption`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**9. Buckets de S3 que no cumplen los estándares o las prácticas recomendadas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/11`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El tipo es `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**10. Buckets de S3 con información confidencial**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/12`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El tipo comienza con `Sensitive Data Identifications/`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**11. Credenciales que podrían haberse filtrado**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/13`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Sensitive Data Identifications/Passwords/`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**12. EC2 instancias a las que les faltan parches de seguridad debido a vulnerabilidades importantes**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/16`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/Vulnerabilities/CVE`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**13. EC2 casos con un comportamiento inusual general**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/17`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Unusual Behaviors`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**14. EC2 instancias que tienen puertos accesibles desde Internet**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/18`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**15. EC2 instancias que no cumplen con los estándares o las mejores prácticas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/19`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**16. EC2 instancias que están abiertas a Internet**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/21`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**17. EC2 instancias asociadas con el reconocimiento del adversario**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/22`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con /Discovery/Recon TTPs
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**18. AWS recursos asociados al malware**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/23`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**19. AWS recursos asociados a problemas de criptomonedas**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/24`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**20. AWS recursos con intentos de acceso no autorizados**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/25`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**21. Indicadores de información de amenazas con la mayoría de coincidencias durante la semana pasada**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/26`  
**Filtros de resultados:**  
+ Creado en los últimos 7 días

**22. Principales cuentas por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/27`  
**Agrupados por:** Cuenta de AWS ID  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**23. Principales productos por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/28`  
**Agrupados por:** Nombre del producto  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**24. Gravedad por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/29`  
**Agrupados por:** etiqueta de gravedad  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**25. Principales buckets de S3 por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/30`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**26. EC2 Instancias principales por recuento de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/31`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**27. AMIs Encabezados por recuentos de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/32`  
**Agrupados por:** ID de imagen de la EC2 instancia  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**28. Principales usuarios de IAM por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/33`  
**Agrupados por**: ID de clave de acceso de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamAccessKey`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**29. Principales recursos por número de comprobaciones CIS no superadas**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/34`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El ID del generador comienza con `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Actualizado en el último día
+ El estado de conformidad es `FAILED`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**30. Principales integraciones por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/35`  
**Agrupados por:** ARN del producto  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**31. Recursos con las comprobaciones de seguridad que más fallan**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/36`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ Actualizado en el último día
+ El estado de conformidad es `FAILED`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**32. Usuarios de IAM con actividad sospechosa**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/37`  
**Agrupados por**: usuario de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamUser`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**33. Recursos con la mayoría de los AWS Health hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/38`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ `ProductName` igual a `Health`

**34. Recursos con la mayoría de los AWS Config hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/39`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ `ProductName` igual a `Config`

**35. Aplicaciones con la mayor cantidad de resultados**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/40`  
**Agrupado por:** ResourceApplicationArn  
**Filtros de resultados:**  
+ `RecordState` igual a `ACTIVE`
+ `Workflow.Status` es igual a `NEW` o `NOTIFIED`

# Descripción de resultados personalizados en el CSPM de Security Hub
<a name="securityhub-custom-insights"></a>

Además de la información gestionada por CSPM de AWS Security Hub, puede crear información personalizada en Security Hub CSPM para realizar un seguimiento de los problemas específicos de su entorno. Los hallazgos personalizados le permiten realizar un seguimiento de un subconjunto de problemas seleccionados.

Estos son algunos ejemplos de hallazgos personalizados que puede resultar útil configurar:
+ Si tiene una cuenta de administrador, puede configurar un hallazgo personalizado para hacer un seguimiento de los resultados críticos y de alta gravedad que estén afectando a las cuentas de los miembros.
+ Si confía en un [AWS servicio integrado](securityhub-internal-providers.md) específico, puede configurar una información personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese servicio.
+ Si confía en una [integración de terceros](securityhub-partner-providers.md), puede configurar un hallazgo personalizado para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada hallazgo se puede configurar con las siguientes opciones:
+ **Atributo de agrupación**: el atributo de agrupación determina los elementos que se muestran en la lista de resultados del hallazgo. Por ejemplo, si el atributo de agrupación es **Nombre del producto**, los resultados del hallazgo muestran el número de hallazgos asociados a cada proveedor.
+ **Filtros opcionales**: Los filtros opcionales afinan la cantidad de resultados que coinciden con los parámetros del hallazgo.

  Un hallazgo se incluye en los resultados de la información solo si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «el tipo de recurso es`AwsS3Bucket`», los resultados que coincidan deben cumplir ambos criterios.

  Sin embargo, el CSPM de Security Hub aplica la lógica booleana OR a los filtros que utilizan el mismo atributo, pero valores distintos. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El nombre del producto es Amazon Inspector», el resultado coincide si lo generó Amazon GuardDuty o Amazon Inspector.

Si utiliza el identificador de recurso o el tipo de recurso como atributo de agrupación, los resultados de la información incluirán todos los recursos incluidos en los resultados. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3 y los agrupa por identificador de recursos. Un resultado coincidente contiene un recurso de bucket de S3 y un recurso de clave de acceso de IAM. Los resultados del hallazgo incluyen ambos recursos.

Si habilitó la [agregación entre regiones](finding-aggregation.md) y, luego, crea un hallazgo personalizado, el hallazgo se aplica a los resultados que coinciden con la región de agregación y las regiones vinculadas. La única excepción es que su información incluya un filtro de región.

# Creación de hallazgos personalizados
<a name="securityhub-custom-insight-create-api"></a>

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Elija el método que prefiera y siga los pasos para crear un producto de información personalizado en el CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Para crear un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Hallazgos**.

1. Seleccione **Crear hallazgo**.

1. Para seleccionar el atributo de agrupación para el conocimiento:

   1. Seleccione el cuadro de búsqueda para ver las opciones de filtro.

   1. Elija **Group by (Agrupar por)**.

   1. Seleccione el atributo que se va a utilizar para agrupar los resultados asociados a este hallazgo.

   1. Seleccione **Aplicar**.

1. De manera opcional, elija los filtros adicionales que desee utilizar para este hallazgo. Para cada filtro, defina los criterios de filtro y, a continuación, elija **Aplicar**.

1. Seleccione **Crear hallazgo**.

1. Escriba un **Nombre del hallazgo** y elija **Crear hallazgo**.

------
#### [ Security Hub CSPM API ]

**Para crear un hallazgo personalizado (API)**

1. Para crear un producto de información personalizado, use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)comando.

1. Rellene el parámetro `Name` con un nombre para su hallazgo personalizado.

1. Rellene el parámetro `Filters` para especificar qué resultados incluir en el hallazgo.

1. Rellene el parámetro `GroupByAttribute` para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

1. Si lo desea, rellene el parámetro `SortCriteria` para ordenar los resultados por un campo específico.

En el siguiente ejemplo, se crea un hallazgo personalizado que incluye los resultados críticos con el tipo de recurso `AwsIamRole`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Para crear una información personalizada (PowerShell)**

1. Utilice el cmdlet `New-SHUBInsight`.

1. Rellene el parámetro `Name` con un nombre para su hallazgo personalizado.

1. Rellene el parámetro `Filter` para especificar qué resultados incluir en el hallazgo.

1. Rellene el parámetro `GroupByAttribute` para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

Si ha habilitado [la agregación entre regiones](finding-aggregation.md) y utiliza este cmdlet desde la región de agregación, el hallazgo se aplica a los resultados de la agregación y las regiones vinculadas.

**Ejemplo**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Creación de un nuevo hallazgo personalizado a partir de un hallazgo administrado (solo para la consola)
<a name="securityhub-custom-insight-frrom-managed"></a>

No puede guardar los cambios en un hallazgo administrado ni eliminarlo. Sin embargo, puede utilizar hallazgos administrados como base para una nuevo hallazgo personalizado. Esta opción está disponible únicamente en la consola del CSPM de Security Hub.

**Para crear un nuevo hallazgo personalizado a partir de un hallazgo administrado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Elija el conocimiento administrado desde el que trabajar.

1. Edite la configuración de los hallazgos si es necesario.
   + Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

     1. Para eliminar la agrupación existente, elija la **X** situada junto al ajuste **Agrupar por**.

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo que desea utilizar para el agrupamiento.

     1. Seleccione **Aplicar**.
   + Para eliminar un filtro del hallazgo, elija la **X** rodeada de un círculo junto al filtro.
   + Cómo agregar un filtro al hallazgo:

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo y el valor que desea utilizar como filtro.

     1. Seleccione **Aplicar**.

1. Cuando se hayan completado las actualizaciones, elija **Create insight (Crear conocimiento)**.

1. Cuando se le solicite, escriba el **Nombre del hallazgo**; a continuación, elija **Crear hallazgo**.

# Edición de hallazgos personalizados
<a name="securityhub-custom-insight-modify-console"></a>

Puede editar un hallazgo personalizado existente para cambiar el valor de agrupación y los filtros. Después de realizar los cambios, puede guardar las actualizaciones en el conocimiento original o guardar la versión actualizada como un nuevo conocimiento.

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Para editar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones.

------
#### [ Security Hub CSPM console ]

**Para editar un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Elija el conocimiento personalizado que desea modificar.

1. Edite la configuración de los hallazgos si es necesario.
   + Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

     1. Para eliminar la agrupación existente, elija la **X** situada junto al ajuste **Agrupar por**.

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo que desea utilizar para el agrupamiento.

     1. Seleccione **Aplicar**.
   + Para eliminar un filtro del hallazgo, elija la **X** rodeada de un círculo junto al filtro.
   + Cómo agregar un filtro al hallazgo:

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo y el valor que desea utilizar como filtro.

     1. Seleccione **Aplicar**.

1. Cuando complete las actualizaciones, elija **Save insight (Guardar conocimiento)**.

1. Cuando se le solicite, siga uno de estos procedimientos:
   + Para actualizar la información existente para que refleje los cambios, seleccione **Actualizar *<Insight\$1Name>*** y, a continuación, seleccione **Guardar** información.
   + Para crear un nuevo conocimiento con las actualizaciones, elija **Save new insight (Guardar nuevo conocimiento)**. Escriba un **Insight name (Nombre del conocimiento)** y elija **Save insight (Guardar conocimiento)**.

------
#### [ Security Hub CSPM API ]

**Para editar un hallazgo personalizado (API)**

1. Use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) de la API del CSPM de Security Hub. Si usa el comando, AWS CLI ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)comando.

1. Para identificar el hallazgo personalizado que desea actualizar, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, ejecute la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) o el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

1. Actualice los parámetros `Name`, `Filters` y `GroupByAttribute` según sea necesario.

En el siguiente ejemplo, se actualizan los hallazgos especificados. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Para editar una información personalizada (PowerShell)**

1. Utilice el cmdlet `Update-SHUBInsight`.

1. Para identificar el hallazgo personalizado, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet `Get-SHUBInsight`.

1. Actualice los parámetros `Name`, `Filter` y `GroupByAttribute` según sea necesario.

**Ejemplo**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Eliminación de hallazgos personalizados
<a name="securityhub-custom-insight-delete-console"></a>

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Para eliminar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones. No puede eliminar un hallazgo administrado.

------
#### [ Security Hub CSPM console ]

**Para eliminar un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Localice el conocimiento personalizado que desea eliminar.

1. Para obtener ese hallazgo, elija el icono de más opciones (los tres puntos en la esquina superior derecha de la tarjeta).

1. Elija **Eliminar**.

------
#### [ Security Hub CSPM API ]

**Para eliminar un hallazgo personalizado (API)**

1. Use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) de la API del CSPM de Security Hub. Si usa el comando, AWS CLI ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)comando.

1. Para identificar el hallazgo personalizado que se va a eliminar, indique su ARN. Para obtener el ARN de un hallazgo personalizado, ejecute la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) o el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

En el siguiente ejemplo, se elimina el hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Para eliminar una información personalizada (PowerShell)**

1. Utilice el cmdlet `Remove-SHUBInsight`.

1. Para identificar el hallazgo personalizado, indique su ARN. Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet `Get-SHUBInsight`.

**Ejemplo**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Modificación automática de los resultados del CSPM de Security Hub y adopción de medidas al respecto
<a name="automations"></a>

AWS Security Hub CSPM tiene funciones que modifican automáticamente los hallazgos y toman medidas en función de sus especificaciones.

El CSPM de Security Hub actualmente admite dos tipos de automatizaciones:
+ **Reglas de automatización**: Actualice y suprima automáticamente los resultados casi en tiempo real en función de los criterios que defina.
+ **Respuesta y corrección automatizadas**: cree EventBridge reglas de Amazon personalizadas que definan las acciones automáticas que se deben tomar en función de hallazgos e información específicos.

Las reglas de automatización son útiles cuando se desean actualizar automáticamente los campos de búsqueda en el formato de búsqueda AWS de seguridad (ASFF). Por ejemplo, puede utilizar una regla de automatización para actualizar el nivel de gravedad o el estado del flujo de trabajo de los resultados de una integración específica de terceros. El uso de la regla de automatización elimina la necesidad de actualizar de manera manual el nivel de gravedad o el estado del flujo de trabajo de cada resultado de este producto de terceros.

EventBridge las reglas son útiles cuando quieres tomar medidas fuera del Security Hub CSPM con respecto a hallazgos específicos o enviar hallazgos específicos a herramientas de terceros para su corrección o investigación adicional. Las reglas se pueden utilizar para activar acciones compatibles, como invocar una AWS Lambda función o notificar a un tema del Amazon Simple Notification Service (Amazon SNS) sobre un hallazgo específico.

Las reglas de automatización entran en vigor antes de que se EventBridge apliquen. Es decir, las reglas de automatización se activan y actualizan un hallazgo EventBridge antes de recibirlo. EventBridge Las reglas se aplican entonces al hallazgo actualizado.

Al configurar automatizaciones para los controles de seguridad, recomendamos filtrar en función del ID del control en vez del título o la descripción. Mientras que Security Hub CSPM actualiza ocasionalmente los títulos y descripciones de los controles, el control sigue IDs siendo el mismo.

**Topics**
+ [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md)
+ [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md)

# Descripción de las reglas de automatización en el CSPM de Security Hub
<a name="automation-rules"></a>

Puede usar reglas de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. A medida que se ingieren resultados, el CSPM de Security Hub puede aplicar diversas acciones de regla, como suprimir resultados, modificar su gravedad o agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.

Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
+ Elevar la gravedad de un resultado a `CRITICAL` si el ID de recurso del resultado se refiere a un recurso crítico para la empresa.
+ Elevar la gravedad de un resultado de `HIGH` a `CRITICAL` si el resultado afecta a recursos en cuentas de producción específicas.
+ Asignar resultados específicos que tengan una gravedad `INFORMATIONAL` un estado de flujo de trabajo `SUPPRESSED`.

Solo puede crear y administrar reglas de automatización desde una cuenta de administrador del CSPM de Security Hub.

Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por el CSPM de Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.

## Definición de criterios de regla y acciones de regla
<a name="automation-rules-how-it-works"></a>

Desde una cuenta de administrador del CSPM de Security Hub, puede crear una regla de automatización mediante la definición de uno o más *criterios* de regla y una o más *acciones* de regla. Cuando un resultado coincide con los criterios definidos, el CSPM de Security Hub aplica las acciones de la regla al resultado. Para obtener más información sobre los criterios y acciones disponibles, consulte [Criterios de regla y acciones de regla disponibles](#automation-rules-criteria-actions).

El CSPM de Security Hub admite actualmente un máximo de 100 reglas de automatización por cada cuenta de administrador.

La cuenta de administrador del CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de CSPM de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.

Una regla de automatización solo se aplica en el lugar Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer mediante la consola del CSPM de Security Hub, la API del CSPM de Security Hub o [AWS CloudFormation](creating-resources-with-cloudformation.md). Además, puede utilizar un un [script de implementación multirregión](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).

## Criterios de regla y acciones de regla disponibles
<a name="automation-rules-criteria-actions"></a>

Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:


| Criterios de reglas | Operadores de filtro | Tipo de campo | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ComplianceStatus  | Is, Is Not  | Selección: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| CreatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| FirstObservedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| LastObservedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| NoteUpdatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Asignación  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Asignación  | 
| ResourceType  | Is, Is Not  | Selección (consulte los [recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) admitidos por ASFF)  | 
| SeverityLabel  | Is, Is Not  | Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| UpdatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Asignación  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Cadena  | 
| WorkflowStatus  | Is, Is Not  | Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]  | 

En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) en la *Referencia de la API del CSPM de AWS Security Hub*.

Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) en la *Referencia de la API del CSPM de AWS Security Hub*.

Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Para obtener más información sobre campos ASFF específicos, consulte [Sintaxis del formato de resultado de seguridad de AWS (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

**sugerencia**  
 Si desea que el CSPM de Security Hub deje de generar resultados para un control específico, recomendamos desactivar el control en lugar de usar una regla de automatización. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad correspondientes y deja de generar resultados, por lo que no se generan cargos asociados a ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte [Desactivación de controles en el CSPM de Security Hub](disable-controls-overview.md).

## Resultados que las reglas de automatización evalúan
<a name="automation-rules-findings"></a>

Una regla de automatización evalúa los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *después* de que cree la regla. El CSPM de Security Hub actualiza los resultados de los controles cada 12 a 24 horas, o cuando el recurso asociado cambia de estado. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden aportar resultados nuevos y actualizar resultados existentes mediante la operación `BatchImportFindings` de la API del CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, el CSPM de Security Hub completa automáticamente esos campos y utiliza los valores completados en la evaluación realizada por la regla de automatización.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Después de crear una o más reglas de automatización, estas reglas no se desencadenan si actualiza los campos del resultado mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Si crea una regla de automatización y realiza una actualización `BatchUpdateFindings` que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:

1. Utilice la operación `BatchUpdateFindings` para cambiar el valor del campo `Workflow.Status` de un resultado de `NEW` a `NOTIFIED`.

1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `NOTIFIED`.

1. Se crea una regla de automatización que cambia el campo `Workflow.Status` del resultado de `NEW` a `SUPPRESSED`. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante la operación `BatchUpdateFindings`).

1. El proveedor del resultado utiliza la operación `BatchImportFindings` para actualizar el resultado y cambia el valor del campo `Workflow.Status` del resultado a `NEW`.

1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `SUPPRESSED`. Esto ocurre porque se aplicó la regla de automatización y esa regla fue la última acción realizada sobre el resultado.

Cuando crea o edita una regla en la consola del CSPM de Security Hub, la consola muestra una vista preliminar de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan los resultados originales enviados por el proveedor del resultado, la vista preliminar de la consola refleja los resultados en su estado final tal como aparecerían en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (es decir, después de aplicar las acciones de la regla u otras actualizaciones al resultado).

## Cómo funciona el orden de las reglas
<a name="rule-order"></a>

Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que el CSPM de Security Hub aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o con el mismo campo del resultado.

Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.

Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. El CSPM de Security Hub aplica las reglas posteriores en orden ascendente.

Al crear una regla a través de la API CSPM de Security Hub o AWS CLI, Security Hub CSPM aplica primero la regla con el valor numérico más bajo. `RuleOrder` Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo valor de `RuleOrder`, el CSPM de Security Hub aplica primero la regla con un valor anterior en el campo `UpdatedAt` (es decir, la regla editada más recientemente se aplica al final).

Puede modificar el orden de las reglas en cualquier momento.

**Ejemplo de orden de reglas**:

**Regla A (el orden de la regla es`1`)**:
+ Criterios de la regla A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` es `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` es `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Acciones de la regla A
  + Actualizar `Confidence` a `95`
  + Actualizar `Severity` a `CRITICAL`

**Regla B (el orden de la regla es`2`)**:
+ Criterios de la regla B
  + `AwsAccountId` = `123456789012`
+ Acciones de la regla B
  + Actualizar `Severity` a `INFORMATIONAL`

Las acciones de la regla A se aplican primero a los resultados del CSPM de Security Hub que coinciden con los criterios de la regla A. Luego, se aplican las acciones de la regla B a los resultados del CSPM de Security Hub que coinciden con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de `Severity` en los resultados del ID de cuenta especificado es `INFORMATIONAL`. Según la acción de la regla A, el valor final de `Confidence` en los resultados coincidentes es `95`.

# Creación de reglas de automatización
<a name="create-automation-rules"></a>

Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Puede crear una regla de automatización personalizada desde cero o, en la consola del CSPM de Security Hub, usar una plantilla de regla previamente completada. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Solo puede crear una regla de automatización a la vez. Para crear varias reglas de automatización, siga los procedimientos de la consola tantas veces como necesite o llame a la API o al comando tantas veces como necesite con los parámetros que desee.

Debe crear una regla de automatización en cada región y cuenta en que desee que la regla se aplique a los resultados.

Cuando crea una regla de automatización en la consola del CSPM de Security Hub, el CSPM de Security Hub muestra una versión preliminar de los resultados a los que se aplica la regla. La vista previa no está disponible si los criterios de la regla incluyen un filtro CONTAINS o NOT\$1CONTAINS. Puede elegir estos filtros para los tipos de campos de mapeo y cadena.

**importante**  
AWS recomienda no incluir información de identificación personal, confidencial o confidencial en el nombre, la descripción u otros campos de la regla.

## Creación de una regla de automatización personalizada
<a name="create-automation-rules-custom"></a>

Elija su método preferido y realice los siguientes pasos para crear una regla de automatización personalizada.

------
#### [ Console ]

**Para crear una regla de automatización personalizada (consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear regla personalizada**.

1. En la sección **Regla**, proporcione un nombre de regla único y una descripción de la regla.

1. En **Criterios**, utilice los menús desplegables de **Clave**, **Operador** y **Valor** para especificar los criterios de la regla. Debe especificar al menos un criterio de regla.

   Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.

1. En **Acción automatizada**, utilice los menús desplegables para especificar qué campos de resultado desea actualizar cuando los resultados coincidan con los criterios de la regla. Debe especificar al menos una regla de acción.

1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.

1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.

1. Seleccione **Creación de regla**.

------
#### [ API ]

**Para crear una regla de automatización personalizada (API)**

1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API crea una regla con un nombre de recurso de Amazon (ARN) específico.

1. Introduzca un nombre y una descripción para la regla.

1. Defina el parámetro `IsTerminal` como `true` si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

1. En el parámetro `RuleOrder`, indique el orden de la regla. El CSPM de Security Hub aplica primero las reglas con el valor numérico más bajo para este parámetro.

1. En el parámetro `RuleStatus`, especifique si desea que el CSPM de Security Hub habilite la regla y comience a aplicarla a los resultados una vez creada. El valor predeterminado es `ENABLED` si no se especifica ningún valor. Un valor de `DISABLED` significa que la regla queda en pausa tras su creación.

1. En el parámetro `Criteria`, proporcione los criterios que desea que el CSPM de Security Hub utilice para filtrar los resultados. La acción de la regla se aplicará a los resultados que coincidan con los criterios. Para obtener una lista de los criterios admitidos, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).

1. En el parámetro `Actions`, proporcione las acciones que desea que el CSPM de Security Hub ejecute cuando exista una coincidencia entre un resultado y los criterios definidos. Para obtener una lista de las acciones admitidas, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).

El siguiente AWS CLI comando de ejemplo crea una regla de automatización que actualiza el estado del flujo de trabajo y anota las coincidencias. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## Crear una regla de automatización a partir de una plantilla (solo en la consola)
<a name="create-automation-rules-template"></a>

Las plantillas de reglas reflejan casos de uso comunes para las reglas de automatización. Actualmente, solo la consola del CSPM de Security Hub admite plantillas de reglas. Complete los siguientes pasos para crear una regla de automatización a partir de una plantilla en la consola.

**Para crear una regla de automatización a partir de una plantilla (en la consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear una regla a partir de una plantilla**.

1. Seleccione una plantilla de regla en el menú desplegable.

1. (Opcional) De ser necesario para su caso de uso, modifique las secciones **Regla**, **Criterios** y **Acción automatizada**. Debe especificar al menos un criterio de regla y una acción de regla.

   Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.

1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.

1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.

1. Seleccione **Creación de regla**.

# Visualización de las reglas de automatización
<a name="view-automation-rules"></a>

Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Elija el método que prefiera y siga los pasos para ver sus reglas de automatización existentes y los detalles de cada regla.

Para obtener un historial de cómo las reglas de automatización han modificado sus resultados, consulte [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md).

------
#### [ Console ]

**Para ver las reglas de automatización (consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Elija un nombre de regla. También puede seleccionar una regla.

1. Seleccione **Acciones** y luego **Ver**.

------
#### [ API ]

**Para ver las reglas de automatización (API)**

1. Para ver las reglas de automatización de la cuenta, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API devuelve la regla ARNs y otros metadatos de sus reglas. No se requieren parámetros de entrada para esta API, pero puede como opción proporcionar `MaxResults` para limitar el número de resultados y `NextToken` como parámetro de paginación. El valor inicial de `NextToken` debería ser `NULL`.

1. Para obtener más detalles sobre las reglas, incluidos los criterios y las acciones de una regla, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Proporcione las reglas ARNs de automatización de las que desee obtener detalles.

   En el siguiente ejemplo, se recuperan los detalles de las reglas de automatización especificadas. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# Edición de reglas de automatización
<a name="edit-automation-rules"></a>

Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla. Al editar una regla de automatización, los cambios se aplican a los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere después de la edición de la regla.

Elija el método que prefiera y siga los pasos para editar el contenido de una regla de automatización. Puede editar una o más reglas con una sola solicitud. Para obtener instrucciones sobre cómo editar el orden de las reglas, consulte [Edición del orden de las reglas de automatización](edit-rule-order.md).

------
#### [ Console ]

**Para editar las reglas de automatización (consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Seleccione la regla que desea editar. Seleccione **Acciones** y luego **Editar**.

1. Cambie la regla como desee y seleccione **Guardar cambios**.

------
#### [ API ]

**Para editar las reglas de automatización (API)**

1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.

1. En el parámetro `RuleArn`, proporcione el ARN de las reglas que desee editar.

1. Proporcione los nuevos valores de los parámetros que desee editar. Puede editar cualquier parámetro excepto `RuleArn`.

En el siguiente ejemplo, se actualiza la regla de automatización especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# Edición del orden de las reglas de automatización
<a name="edit-rule-order"></a>

Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla.

Si desea mantener los criterios y las acciones de la regla tal como están, pero desea cambiar el orden en que el CSPM de Security Hub aplica una regla de automatización, es posible editar solo el orden de la regla. Elija el método que prefiera y siga los pasos para editar el orden de las reglas.

Para obtener instrucciones acerca de cómo editar los criterios o las acciones de una regla de automatización, consulte [Edición de reglas de automatización](edit-automation-rules.md).

------
#### [ Console ]

**Para editar el orden de una regla de automatización (consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Seleccione la regla cuyo orden desea modificar. Seleccione **Editar prioridad**.

1. Seleccione **Subir** para aumentar la prioridad de la regla en una unidad. Seleccione **Bajar** para disminuir la prioridad de la regla en una unidad. Seleccione **Mover al principio** para asignar a la regla un orden de **1** (esto da a la regla precedencia sobre otras existentes).

**nota**  
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero.

------
#### [ API ]

**Para editar el orden de una regla de automatización (API)**

1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.

1. En el parámetro `RuleArn`, proporcione el ARN de las reglas cuyo orden desea editar.

1. Modifique el valor del campo `RuleOrder`.

**nota**  
Si varias reglas tienen el mismo `RuleOrder`, el CSPM de Security Hub aplica primero una regla con un valor anterior para el campo `UpdatedAt` (es decir, la regla que se editó más recientemente se aplica en último lugar).

------

# Eliminación o desactivación de las reglas de automatización
<a name="delete-automation-rules"></a>

Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).

Al eliminar una regla de automatización, el CSPM de Security Hub la elimina de la cuenta y deja de aplicarla a los resultados. Como alternativa a la eliminación, puede *desactivar* una regla. Esto retiene la regla para uso futuro, pero el CSPM de Security Hub no aplicará la regla a ningún resultado coincidente hasta que la habilite.

Elija el método que prefiera y siga los pasos para eliminar una regla de automatización. Puede eliminar una o más reglas en una sola solicitud.

------
#### [ Console ]

**Para eliminar o desactivar las reglas de automatización (consola)**

1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Automatizaciones**.

1. Seleccione las reglas que desea eliminar. Seleccione **Acción** y luego **Eliminar** (para retener una regla, pero temporalmente deshabilitada, seleccione **Deshabilitar**).

1. Confirme la elección y seleccione **Eliminar**.

------
#### [ API ]

**Para eliminar o desactivar las reglas de automatización (API)**

1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.

1. En el parámetro `AutomationRulesArns`, indique el ARN de las reglas que desea eliminar (para retener una regla, pero temporalmente deshabilitada, indique `DISABLED` en el parámetro `RuleStatus`).

En el siguiente ejemplo, se elimina la regla de automatización que se especificó. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# Ejemplos de reglas de automatización
<a name="examples-automation-rules"></a>

En esta sección se proporcionan ejemplos de reglas de automatización para casos de uso comunes del CSPM de Security Hub. Estos ejemplos corresponden a plantillas de reglas que están disponibles en la consola del CSPM de Security Hub.

## Elevar la gravedad a Crítica cuando un recurso específico como un bucket S3 esté en riesgo
<a name="example-automation-rule-severity-resource"></a>

En este ejemplo, los criterios de la regla coinciden cuando el `ResourceId` de un resultado es un bucket específico de Amazon Simple Storage Service (Amazon S3). La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`. Puede modificar esta plantilla para aplicarla a otros recursos.

**Ejemplo de solicitud de API:**

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Ejemplo de comando de la CLI:**

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Cómo elevar la gravedad de los resultados relacionados con los recursos en cuentas de producción
<a name="example-automation-rule-severity-change"></a>

En este ejemplo, los criterios de la regla coinciden cuando se genera un resultado de gravedad `HIGH` en cuentas de producción específicas. La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`.

**Ejemplo de solicitud de API:**

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Ejemplo de comando de la CLI**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Cómo suprimir resultados informativos
<a name="example-automation-rule-change-workflow"></a>

En este ejemplo, los criterios de la regla coinciden con los hallazgos de `INFORMATIONAL` gravedad enviados a Security Hub CSPM desde Amazon. GuardDuty La acción de la regla es cambiar el estado del flujo de trabajo de los resultados coincidentes a `SUPPRESSED`.

**Ejemplo de solicitud de API:**

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Ejemplo de comando de la CLI**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# Uso EventBridge para respuesta y remediación automatizadas
<a name="securityhub-cloudwatch-events"></a>

Al crear reglas en Amazon EventBridge, puedes responder automáticamente a las conclusiones del CSPM de AWS Security Hub. Security Hub CSPM envía los resultados en forma de *eventos* casi EventBridge en tiempo real. Puede crear reglas sencillas para indicar qué eventos le resultan de interés, así como qué acciones automatizadas se van a realizar cuando un evento cumple una de las reglas. Entre las acciones que se pueden activar automáticamente se incluyen las siguientes:
+ Invocar una función AWS Lambda 
+ Invocar el comando de ejecución de Amazon EC2
+ Desviar el evento a Amazon Kinesis Data Streams
+ Activar una máquina de AWS Step Functions estados
+ Notificar un tema de Amazon SNS o una cola de Amazon SQS
+ Enviar un resultado a una herramienta de gestión de tickets, chat, de SIEM o respuesta a incidentes de terceros

Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes a EventBridge as EventBridge events. También puede crear acciones personalizadas que le permitan enviar los hallazgos seleccionados y los resultados de información a. EventBridge

A continuación, configura EventBridge las reglas para responder a cada tipo de evento.

Para obtener más información sobre el uso EventBridge, consulta la [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).

**nota**  
Como práctica recomendada, asegúrate de que los permisos de acceso concedidos a tus usuarios EventBridge utilicen políticas de privilegios mínimos AWS Identity and Access Management (IAM) que concedan únicamente los permisos necesarios.  
Para obtener más información, consulta [Gestión de identidad y acceso en Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html). 

En Soluciones también hay disponible un conjunto de plantillas para la respuesta y la corrección automatizadas entre cuentas. AWS Las plantillas aprovechan las reglas de EventBridge eventos y las funciones Lambda. La solución se implementa mediante CloudFormation y. AWS Systems Manager La solución puede crear acciones de respuesta y corrección totalmente automatizadas. También puede utilizar acciones personalizadas del CSPM de Security Hub para crear acciones de respuesta y corrección activadas por el usuario. Para obtener más información sobre cómo configurar y utilizar la solución, consulte la página de la solución [Respuesta de seguridad automatizada en AWS](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).

**Topics**
+ [Tipos de eventos CSPM de Security Hub en EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formatos de eventos para Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md)
+ [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)

# Tipos de eventos CSPM de Security Hub en EventBridge
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM utiliza los siguientes tipos de EventBridge eventos de Amazon para integrarse. EventBridge

En el EventBridge panel de control de Security Hub CSPM, **All Events** incluye todos estos tipos de eventos.

## Todos los resultados (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes a EventBridge as **Security Hub Findings - Imported**events. Cada evento **Security Hub Findings - Imported** contiene un único resultado.

Cada solicitud [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) y [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) desencadena un evento de **Security Hub Findings - Imported**.

En el caso de las cuentas de administrador, el feed de eventos EventBridge incluye eventos con las conclusiones tanto de su cuenta como de las cuentas de sus miembros.

En una región de agregación, el feed de eventos incluye eventos con los resultados de la región de agregación y las regiones vinculadas. Los hallazgos entre regiones se incluyen en el feed de eventos casi en tiempo real. Para obtener información sobre cómo configurar la agregación de resultados, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

Puede definir reglas EventBridge que dirijan automáticamente los hallazgos a un flujo de trabajo de remediación, a una herramienta de terceros o a [otro EventBridge objetivo compatible](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Las reglas pueden incluir filtros que solo apliquen la regla si el resultado tiene valores de atributo específicos.

Este método le permite enviar automáticamente todos los resultados ,o todos aquellos con determinadas características, a un flujo de trabajo de corrección o respuesta.

Consulte [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md).

## Resultados para acciones personalizadas (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

El CSPM de Security Hub también envía las conclusiones asociadas a acciones personalizadas a eventos EventBridge as **Security Hub Findings - Custom Action**.

Esto resulta útil para los analistas que trabajan con la consola del CSPM de Security Hub y desean enviar un resultado específico, o un pequeño conjunto de resultados, a un flujo de trabajo de respuesta o corrección. Puede seleccionar una acción personalizada para un máximo de 20 resultados a la vez. Cada hallazgo se envía EventBridge como un evento independiente EventBridge .

Al crear una acción personalizada, usted asigna un ID de acción personalizada. Puedes usar este identificador para crear una EventBridge regla que lleve a cabo una acción específica tras recibir un hallazgo asociado a ese identificador de acción personalizado.

Consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).

Por ejemplo, puede crear una acción personalizada en el CSPM de Security Hub llamada `send_to_ticketing`. A continuación EventBridge, se crea una regla que se activa cuando se EventBridge recibe un resultado que incluye el ID de acción `send_to_ticketing` personalizado. La regla incluye lógica para enviar el resultado a su sistema de tickets. Posteriormente, puede seleccionar resultados en el CSPM de Security Hub y utilizar la acción personalizada en el CSPM de Security Hub para enviar manualmente los resultados al sistema de tickets.

Para ver ejemplos de cómo enviar las conclusiones del CSPM del Security Hub EventBridge para su posterior procesamiento, consulte [Cómo integrar las acciones personalizadas del CSPM del AWS Security Hub PagerDuty y Cómo habilitar las acciones personalizadas](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [en el CSPM del AWS Security Hub](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) en el blog AWS Partner Network (APN).

## Resultados de Insight para acciones personalizadas (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

También puede utilizar acciones personalizadas para enviar conjuntos de información y resultados a eventos. EventBridge **Security Hub Insight Results** Los resultados de información son los recursos que coinciden con una información. Tenga en cuenta que cuando envía los resultados de la información a EventBridge, no envía los resultados a EventBridge. Solo está enviando los identificadores de recursos asociados a los resultados de información. Puede enviar hasta 100 identificadores de recursos a la vez.

De forma similar a las acciones personalizadas para los hallazgos, primero se crea la acción personalizada en Security Hub CSPM y, a continuación, se crea una regla en. EventBridge

Consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).

Por ejemplo, supongamos que ve un determinado resultado de información de interés que desea compartir con un colega. En ese caso, puede utilizar una acción personalizada para enviar ese resultado de información al colega a través de un chat o de un sistema de tickets.

# EventBridge formatos de eventos para Security Hub CSPM
<a name="securityhub-cwe-event-formats"></a>

Los tipos de eventos **Security Hub Findings - Imported**, **Security Findings - Custom Action** y **Security Hub Insight Results** utilizan los siguientes formatos de eventos.

El formato del evento es el formato que se utiliza cuando el CSPM de Security Hub envía un evento. EventBridge

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

**Security Hub Findings - Imported**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato.

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>` es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.

Para obtener una lista completa de los atributos de los resultados, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

Para obtener información sobre cómo configurar EventBridge las reglas que se activan por estos eventos, consulte. [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md)

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

**Security Hub Findings - Custom Action**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato. Cada resultado se envía en un evento independiente.

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>` es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.

Para obtener una lista completa de los atributos de los resultados, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).

Para obtener información sobre cómo configurar EventBridge las reglas que se activan por estos eventos, consulte. [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

**Security Hub Insight Results**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato.

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

Para obtener información sobre cómo crear una EventBridge regla que se active mediante estos eventos, consulte. [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)

# Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub
<a name="securityhub-cwe-all-findings"></a>

Puedes crear una regla en Amazon EventBridge que defina la acción que se debe realizar cuando se reciba un **Security Hub Findings - Imported**evento. **Security Hub Findings - Imported**los eventos se desencadenan por las actualizaciones de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)las operaciones [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)y.

Cada regla contiene un patrón de eventos, que identifica los eventos que activan la regla. El patrón de eventos siempre contiene la fuente del evento (`aws.securityhub`) y el tipo de evento (**Resultados de Security Hub - Importado**). El patrón de eventos también puede especificar filtros para identificar los resultados a los que se aplica la regla.

A continuación, la regla de eventos identifica los objetivos de la regla. Los objetivos son las acciones que se deben realizar cuando EventBridge recibe un evento **de Security Hub Findings - Imported** y el hallazgo coincide con los filtros.

Las instrucciones que se proporcionan aquí utilizan la EventBridge consola. Cuando utilizas la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir en Amazon CloudWatch Logs.

También puede utilizar el [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funcionamiento de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener información sobre la política requerida, consulta [CloudWatch los permisos de registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) en la *Guía del EventBridge usuario de Amazon*.

## Formato del patrón de eventos
<a name="securityhub-cwe-all-findings-rule-format"></a>

El formato del patrón de eventos para los eventos **Resultados de Security Hub - Importado** es el siguiente:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source` identifica al CSPM de Security Hub como el servicio que genera el evento.
+ `detail-type` identifica el tipo de evento.
+ `detail` es opcional y proporciona los valores de filtro para el patrón de eventos. Si el patrón de eventos no contiene un campo `detail`, todos los resultados activan la regla.

Puede filtrar los resultados en función de cualquier atributo del resultado. Para cada atributo, proporciona una matriz separada por comas de uno o más valores.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Si proporciona más de un valor para un atributo, estos valores se unen mediante `OR`. Un resultado coincide con el filtro para un atributo individual si el resultado tiene cualquiera de los valores enumerados. Por ejemplo, si proporciona `INFORMATIONAL` y `LOW` como valores para `Severity.Label`, entonces el resultado coincide si tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.

Los atributos se unen mediante `AND`. Un resultado coincide si este coincide con los criterios de filtrado para todos los atributos proporcionados.

Al proporcionar un valor de atributo, debe reflejar la ubicación de ese atributo dentro de la estructura del formato AWS de búsqueda de seguridad (ASFF).

**sugerencia**  
Para filtrar los resultados de los controles, le recomendamos que utilice los [campos ASFF](securityhub-findings-format.md) `SecurityControlId` o `SecurityControlArn` como filtros, en vez de `Title` o `Description`. Estos últimos campos podrían cambiar ocasionalmente, mientras que el ID de control y el ARN son identificadores estáticos.

En el siguiente ejemplo, el patrón de eventos proporciona valores de filtro para `ProductArn` y `Severity.Label`, por lo que un resultado coincide si lo genera Amazon Inspector y tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Creación de una regla de eventos
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Puede utilizar un patrón de eventos predefinido o un patrón de eventos personalizado para crear una regla. EventBridge Si selecciona un patrón predefinido, rellena EventBridge automáticamente `source` y`detail-type`. EventBridge también proporciona campos para especificar los valores de filtro para los siguientes atributos de búsqueda:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Para crear una EventBridge regla (consola)**

1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Con los siguientes valores, cree una EventBridge regla que supervise la búsqueda de eventos:
   + En **Tipo de regla**, seleccione **Regla con un patrón de evento**.
   + Elija cómo crear el patrón de eventos.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Para los **tipos de destino**, elija el **AWS servicio** y, para **Seleccione un objetivo**, elija un objetivo, como un tema o AWS Lambda una función de Amazon SNS. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.

   Para obtener más información sobre la creación de reglas, consulta [Cómo crear EventBridge reglas de Amazon que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.

# Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge
<a name="securityhub-cwe-custom-actions"></a>

Para usar las acciones personalizadas de CSPM de AWS Security Hub para enviar hallazgos o resultados de información a Amazon EventBridge, primero debe crear la acción personalizada en Security Hub CSPM. A continuación, puede definir las reglas EventBridge que se apliquen a sus acciones personalizadas.

Puede crear hasta 50 acciones personalizadas.

Si habilita la agregación entre regiones y administra los resultados desde la región de agregación, debe crear acciones personalizadas en la región de agregación.

La regla en EventBridge utiliza el nombre de recurso de Amazon (ARN) de la acción personalizada.

# Crear una acción personalizada
<a name="securityhub-cwe-configure"></a>

Al crear una acción personalizada en AWS Security Hub CSPM, se especifica su nombre, descripción y un identificador único.

Una acción personalizada especifica qué acciones se deben realizar cuando un EventBridge evento coincide con una EventBridge regla. Security Hub CSPM envía cada hallazgo EventBridge como un evento.

Elija su método preferido y siga los pasos para crear una acción personalizada.

------
#### [ Console ]

**Cómo crear una acción personalizada en el CSPM de Security Hub (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Settings (Configuración)** y luego elija **Custom actions (Acciones personalizadas)**.

1. Seleccione **Create custom action (Crear acción personalizada)**.

1. Proporcione un **Name (Nombre)**, **Description (Descripción)** e **Custom action ID (ID de acción personalizada)** para la acción.

   El **Name (Nombre)** debe tener menos de 20 caracteres.

   El **ID de acción personalizada** debe ser único por cada cuenta de AWS .

1. Seleccione **Create custom action (Crear acción personalizada)**.

1. Anote el **ARN de acción personalizada**. Debe usar el ARN cuando cree una regla para asociarla con esta acción en EventBridge.

------
#### [ API ]

**Para crear una acción personalizada (API)**

Utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html). Si está utilizando el AWS CLI, ejecute el [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.

En el siguiente ejemplo, se crea una acción personalizada para enviar resultados a una herramienta de corrección. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# Definir una regla en EventBridge
<a name="securityhub-cwe-define-rule"></a>

Para activar una acción personalizada en Amazon EventBridge, debes crear la regla correspondiente en EventBridge. La definición de la regla incluye el nombre de recurso de Amazon (ARN) de la acción personalizada.

El patrón de evento para un evento **Resultados de Security Hub - Acción personalizada** tiene el siguiente formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

El patrón de evento para un evento **Resultados de Security Hub - Acción personalizada** tiene el siguiente formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

En ambos patrones, `<custom action ARN>` es el ARN de una acción personalizada. Puede configurar una regla que se aplique a más de una acción personalizada.

Las instrucciones que se proporcionan aquí son para la EventBridge consola. Al utilizar la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir CloudWatch en los registros.

También puedes usar la operación de [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener más información sobre la política requerida, consulta [CloudWatch los permisos de registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) en la *Guía del EventBridge usuario de Amazon*.

**Para definir una regla en EventBridge (EventBridge consola)**

1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. En el panel de navegación, seleccione **Reglas**.

1. Elija **Creación de regla**.

1. Escriba un nombre y una descripción para la regla.

1. En **Bus de eventos**, elija el bus de eventos que desea asociar a esta regla. Si desea que esta regla coincida con eventos procedentes de su cuenta, seleccione **predeterminado**. Cuando un servicio de AWS en la cuenta emite un evento, siempre va al bus de eventos predeterminado de la cuenta.

1. En **Tipo de regla**, seleccione **Regla con un patrón de eventos**.

1. Seleccione **Siguiente**.

1. En **Origen de eventos**, seleccione **(Eventos de AWS )**.

1. En la sección **Patrón de eventos**, seleccione **Formulario de patrón de eventos**.

1. En **Origen del evento**, seleccione **Servicios de AWS **.

1. En **Servicio de AWS **, seleccione **Security Hub**.

1. En **Tipo de evento**, realice una de las siguientes operaciones:
   + Para crear una regla que se aplique al enviar resultados a una acción personalizada, seleccione **Resultados de Security Hub - Acción personalizada**.
   + Para crear una regla que se aplique al enviar resultados de información a una acción personalizada, seleccione **Resultados de información de Security Hub**.

1. Elija **Acción personalizada específica ARNs** y añada un ARN de acción personalizada.

   Si la regla se aplica a varias acciones personalizadas, selecciona **Añadir** para añadir más acciones ARNs personalizadas.

1. Elija **Siguiente**.

1. En **Seleccionar objetivos**, elija y configure el objetivo por invocar cuando esta regla coincida.

1. Elija **Siguiente**.

1. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) en la *Guía del EventBridge usuario de Amazon*.

1. Elija **Siguiente**.

1. Revise los detalles de la regla y seleccione **Creación de regla**.

   Cuando realizas una acción personalizada sobre los hallazgos o los resultados de información de tu cuenta, los eventos se generan en EventBridge.

# Selección de una acción personalizada para resultados y resultados de información
<a name="securityhub-cwe-send"></a>

Después de crear las acciones personalizadas de CSPM y las EventBridge reglas de Amazon de AWS Security Hub, puede enviar las conclusiones y los resultados de información EventBridge para su administración y procesamiento automáticos.

Los eventos se envían EventBridge únicamente a la cuenta en la que se visualizan. Si consulta un hallazgo con una cuenta de administrador, el evento se envía a EventBridge la cuenta de administrador.

Para que las llamadas a las AWS API sean efectivas, las implementaciones del código de destino deben cambiar de rol a cuentas de miembros. Esto también significa que el rol al que se cambia debe implementarse en cada miembro en el que sea necesario actuar.

**Para enviar los resultados a EventBridge (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Visualice una lista de resultados:
   + En **Resultados**, puede ver los resultados de todas las integraciones de productos y controles habilitados.
   + En **Estándares de seguridad**, puede dirigirse a una lista de resultados generados a partir de un control específico. Para obtener más información, consulte [Cómo revisar los detalles de los controles en el CSPM de Security Hub](securityhub-standards-control-details.md).
   + En **Integraciones** puede dirigirse a una lista de resultados generada por una de las integraciones habilitadas. Para obtener más información, consulte [Visualización de los resultados a partir de una integración con el CSPM de Security Hub](securityhub-integration-view-findings.md).
   + En **Información**, puede dirigirse a una lista de resultados de un resultado de información. Para obtener más información, consulte [Revisión de productos de información y medidas al respecto en el CSPM de Security Hub](securityhub-insights-view-take-action.md).

1. Seleccione los resultados a los que desee enviarlos. EventBridge Puede seleccionar hasta 20 hallazgos a la vez.

1. En **Acciones**, elija la acción personalizada que se ajuste a la EventBridge regla que desee aplicar.

   El CSPM de Security Hub envía un evento **Resultados de Security Hub - Acción personalizada** independiente por cada resultado.

**Para enviar los resultados de insights a EventBridge (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. En la página **Estadísticas**, elija la información que incluye los resultados a los que desea enviarlos. EventBridge

1. Seleccione los resultados de la información a la que desee enviarlos EventBridge. Puede seleccionar hasta 20 resultados a la vez.

1. En **Acciones**, elija la acción personalizada que se ajuste a la EventBridge regla que desee aplicar.

# Uso del panel en el CSPM de Security Hub
<a name="dashboard"></a>

En la consola del CSPM de Security Hub, el panel **Resumen** muestra un resumen de riesgos, secuencias de ataque y cobertura de seguridad. Este panel ayuda a identificar riesgos y secuencias de ataque según la gravedad y la cobertura de la cuenta para distintas capacidades de seguridad. Cada vez que abre el panel, este se actualiza de forma automática. Sin embargo, tenga en cuenta que las puntuaciones de seguridad y los estados de los controles se actualizan cada 24 horas. 

Puede personalizar el panel **Resumen** con distintos widgets de seguridad que puede agregar o quitar. También puede especificar criterios de filtrado para obtener y mostrar tipos específicos de datos. Si personaliza el panel, Security Hub guarda las configuraciones de personalización. Si otros usuarios de la cuenta personalizan el panel, los cambios se guardan de forma independiente de las configuraciones de personalización propias. 

Si configuró la agregación entre regiones en el CSPM de Security Hub, el panel **Resumen** muestra los datos agregados. Si la cuenta es la cuenta administradora delegada de una organización, los datos incluyen los resultados de la cuenta y los de las cuentas de miembro. Si la cuenta es una cuenta de miembro o una cuenta independiente, los datos incluyen únicamente los resultados de la cuenta.

**Topics**
+ [Widgets disponibles para el panel Resumen](#available-widgets)
+ [Filtrado del panel](filters-dashboard.md)
+ [Personalización del panel de](customize-dashboard.md)

## Widgets disponibles para el panel Resumen
<a name="available-widgets"></a>

El panel de **resumen** incluye widgets que reflejan el panorama actual de amenazas a la seguridad en la nube, guiados por las operaciones de seguridad y las experiencias de los AWS clientes. Algunos widgets se muestran de forma predeterminada, mientras que otros no. Puede agregar o quitar widgets para personalizar la vista del panel.

Para agregar un widget, seleccione **Agregar widget** en la parte superior del panel. Luego, puede revisar la lista de widgets disponibles o ingresar el título de un widget en la barra de búsqueda. Cuando encuentre el widget que desea agregar, arrástrelo hasta el lugar donde quiere que aparezca en el panel. Para obtener más información, consulte [Personalización del panel de ](customize-dashboard.md).

### Widgets mostrados de forma predeterminada
<a name="widgets-shown-default"></a>

El panel **Resumen** incluye los siguientes widgets de forma predeterminada:

**Secuencias de amenazas principales**  
Muestra las secuencias de amenazas con la mayor gravedad. Los hallazgos de secuencias de amenazas, conocidos como *hallazgos de secuencias de ataques* en Amazon GuardDuty, correlacionan varios eventos para identificar posibles amenazas para su AWS entorno. Las secuencias de amenaza pueden incluir comportamientos de ataque en curso o recientes (dentro de un intervalo de 24 horas) en el entorno, lo que a su vez puede derivar en un compromiso adicional. Debe tener GuardDuty activada la protección GuardDuty S3 para recibir hallazgos de secuencias de amenazas en Security Hub CSPM.

**Principales riesgos**  
Muestra un resumen de los riesgos principales en el entorno. La parte superior del widget muestra la cantidad de riesgos en cada nivel de gravedad. Puede elegir un nivel de gravedad para ir a la página **Riesgos**, donde los riesgos aparecen filtrados según el nivel seleccionado. Los riesgos con más ocurrencias en el entorno aparecen primero. Este widget ayuda a priorizar los riesgos que debe mitigar.

**Cobertura de seguridad**  
Resume el alcance de la cobertura de seguridad según los resultados de controles de cobertura. Los controles de cobertura comprueban si una función específica Servicio de AWS y sus capacidades están habilitadas (por ejemplo,[[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)). Este widget le ayuda a confirmar que cuenta con resultados `PASSED` para los controles de cobertura. La consola del CSPM de Security Hub ofrece enlaces desde este widget para facilitar la habilitación de las capacidades de seguridad faltantes. Recomendamos usar una configuración central para habilitar las capacidades de seguridad que faltan en múltiples Cuentas de AWS y Regiones de AWS. Para obtener más información, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

**Estándares de seguridad**  
Muestra la puntuación de seguridad más reciente y la puntuación correspondiente a cada estándar del CSPM de Security Hub. Las puntuaciones de seguridad, que van del 0 % al 100 %, representan la proporción de controles aprobados en relación con todos los controles habilitados. Para obtener más información acerca de estas puntuaciones, consulte [Método de cálculo de las puntuaciones de seguridad](standards-security-score.md#standard-security-score-calculation). Este widget le ayuda a entender su posición general en materia de seguridad.

**Los activos con más resultados**  
Proporciona información general de los activos, las cuentas y las aplicaciones que generan más resultados. La lista se ordena por número de resultados de forma descendente. En el widget, cada pestaña muestra los seis elementos principales de esa categoría, agrupados por gravedad y tipo de recurso. Si selecciona un número en la columna **Resultados totales**, el CSPM de Security Hub abre una página que presenta los resultados del activo. Este widget le ayuda a identificar rápidamente cuáles de sus activos principales presentan posibles amenazas a la seguridad.

**Resultados por región**  
Muestra el número total de resultados, agrupados por gravedad, en cada Región de AWS en la que el CSPM de Security Hub está habilitado. Este widget le ayuda a identificar los problemas de seguridad que pueden afectar a determinadas regiones. Si abre el panel en su región de agregación, este widget le ayudará a supervisar los posibles problemas de seguridad de cada región vinculada. 

**Tipos de amenazas más comunes**  
Proporciona un desglose de los 10 tipos de amenazas más comunes en su AWS entorno. Esto incluye amenazas como derivación de privilegios, uso de credenciales expuestas o comunicación con direcciones IP maliciosas.  
Para ver estos datos, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) debe estar activado. Si es así, elige un tipo de amenaza en este widget para abrir la GuardDuty consola y revisar los resultados relacionados con esta amenaza. Este widget le ayuda a evaluar las posibles amenazas en el contexto de otros problemas de seguridad.

**Vulnerabilidades de software con exploits**  
Proporciona un resumen de las vulnerabilidades de software que existen en su AWS entorno y que presentan vulnerabilidades conocidas. También puede revisar un desglose de las vulnerabilidades que tienen soluciones disponibles y las que no.  
Para ver estos datos, [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) debe estar habilitado. Si es así, seleccione una estadística en este widget para abrir la consola de Amazon Inspector y ver más detalles sobre la vulnerabilidad. Este widget le ayuda a evaluar las vulnerabilidades del software en el contexto de otros problemas de seguridad.

**Nuevos resultados a lo largo del tiempo**  
Muestra las tendencias en el número de nuevos resultados diarios durante los últimos 90 días. Puede desglosar los datos por gravedad o por proveedor para obtener un contexto adicional. Este widget le ayuda a saber si ha aumentado o disminuido el volumen de resultados en momentos específicos durante los últimos 90 días.

**Recursos con la mayor cantidad de resultados**  
Proporciona un resumen de los recursos que han generado más resultados, desglosados por los siguientes tipos de recursos: depósitos de Amazon Simple Storage Service (Amazon S3), instancias y funciones de Amazon Elastic Compute Cloud (Amazon EC2). AWS Lambda   
En el widget, cada pestaña se centra en uno de los tipos de recursos anteriores y enumera las 10 instancias de recursos que han generado la mayoría de los resultados. Para revisar los resultados de un recurso específico, seleccione la instancia del recurso. Este widget le ayuda a clasificar los hallazgos de seguridad asociados a los recursos comunes. AWS 

### Widgets ocultos de forma predeterminada
<a name="widgets-hidden-default"></a>

Los siguientes widgets también están disponibles en el panel **Resumen**; sin embargo, permanecen ocultos de forma predeterminada.

**AMIs con la mayor cantidad de hallazgos**  
Ofrece una lista de las 10 imágenes de máquina de Amazon (AMI) que han generado más resultados. Estos datos están disponibles únicamente si Amazon EC2 está habilitado en la cuenta. Le ayuda a identificar cuáles AMIs representan posibles riesgos de seguridad.

**Entidades principales de IAM con la mayor cantidad de resultados**  
Proporciona una lista de los 10 usuarios AWS Identity and Access Management (IAM) que han generado más hallazgos. Este widget le ayuda a llevar a cabo tareas administrativas y de facturación. Muestra qué usuarios aportan en mayor medida al uso del CSPM de Security Hub.

**Cuentas con la mayor cantidad de resultados (por gravedad)**  
Muestra un gráfico de las 10 cuentas que han generado la mayor cantidad de resultados, agrupadas por gravedad. Este widget le ayuda a determinar en qué cuentas debe centrar los esfuerzos de análisis y corrección.

**Cuentas con la mayor cantidad de resultados (por tipo de recurso)**  
Muestra un gráfico de las 10 cuentas que han generado la mayor cantidad de resultados, agrupadas por tipo de recurso. Este widget le ayuda a determinar qué cuentas y tipos de recursos se deben priorizar en cuestión de análisis y corrección.

**Información**  
Presenta cinco [productos de información administrados del CSPM de Security Hub](securityhub-managed-insights.md), junto con la cantidad de resultados que generó cada uno. Dichos elementos identifican un área de seguridad específica que requiere atención.

**Los últimos hallazgos de las AWS integraciones**  
Muestra la cantidad de resultados que recibió en el CSPM de Security Hub desde [Servicios de AWS integrados](securityhub-internal-providers.md). También muestra cuándo recibió por última vez los resultados de cada servicio integrado. Este widget proporciona datos de hallazgos consolidados de múltiples Servicios de AWS. Para obtener más detalles, seleccione un servicio integrado. Luego, el CSPM de Security Hub abre la consola del servicio correspondiente.

# Filtrado del panel Resumen en el CSPM de Security Hub
<a name="filters-dashboard"></a>

Puede depurar el panel **Resumen** en la consola del CSPM de Security Hub para incluir solo los datos de seguridad que le resulten más relevantes. Por ejemplo, si es miembro de un equipo de aplicaciones, puede crear una vista específica para una aplicación crítica de su entorno de producción. Si es miembro de un equipo de seguridad, puede crear una vista específica que le ayude a centrarse en los resultados de mayor gravedad.

Para crear estas vistas depuradas, ingrese los criterios de filtrado en el cuadro de filtros situado encima del panel. Si aplica criterios de filtrado, estos se aplican a todos los datos y widgets del panel, excepto a los datos de los widgets **Productos de información** y **Estándares de seguridad**. Para ver una lista de los widgets disponibles en el panel de control, consulte[Widgets disponibles para el panel Resumen](dashboard.md#available-widgets).

Puede filtrar los datos mediante los campos siguientes:
+ Nombre de cuenta
+ ID de cuenta
+ ARN de la aplicación
+ Nombre de la aplicación
+ Nombre del producto (para un producto Servicio de AWS o un producto de terceros que envía los resultados a Security Hub CSPM)
+ Record state (Estado de registro)
+ Region
+ Etiqueta de recurso
+ Gravedad
+ Estado del flujo de trabajo

Los datos del panel se filtran, de forma predeterminada, según los siguientes criterios: `Workflow.Status` es `NOTIFIED` o `NEW`, y `RecordState` es `ACTIVE`. Estos criterios aparecen encima del panel, debajo del cuadro de filtro. Para eliminar estos criterios, seleccione **X** en el token del filtro para los criterios que desea eliminar.

Si aplica criterios de filtro que desea volver a utilizar, puede guardarlos como un *conjunto de filtros*. Un conjunto de filtros es una agrupación de criterios de filtro que crea y guarda para volver a aplicarlos al revisar los datos que se muestran en el panel **Resumen**. Puede crear y guardar un conjunto de filtros que use cualquiera de los campos disponibles, excepto los siguientes: ARN de la aplicación, nombre de la aplicación y etiqueta de recurso.

## Creación y almacenamiento de conjuntos de filtros
<a name="save-filter-set"></a>

Para crear y guardar un conjunto de filtros, siga estos pasos.

**Creación y almacenamiento de un conjunto de filtros**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Resumen**.

1. En el cuadro de filtros situado encima del panel **Resumen**, ingrese los criterios de filtro para el conjunto correspondiente.

1. En el menú **Borrar filtros**, seleccione **Guardar nuevo conjunto de filtros**.

1. En el cuadro de diálogo **Guardar conjunto de filtros**, ingrese un nombre para el conjunto de filtros.

1. (Opcional) Para utilizar el conjunto de filtros predeterminado cada vez que abra la página **Resumen**, seleccione la opción para establecerlo como vista predeterminada.

1. Seleccione **Save**.

Para cambiar entre los conjuntos de filtros que ha creado y guardado, utilice el menú **Seleccionar un conjunto de filtros** situado encima del panel **Resumen**. Cuando selecciona un conjunto de filtros, el CSPM de Security Hub aplica los criterios del conjunto de filtros a los datos del panel.

## Actualización o eliminación de conjuntos de filtros
<a name="update-delete-filter-set"></a>

Siga estos pasos para actualizar o eliminar un conjunto de filtros existente. Si elimina un conjunto de filtros que está configurado como vista predeterminada del panel **Resumen**, la vista predeterminada vuelve a la vista predeterminada del CSPM de Security Hub.

**Actualización o eliminación de un conjunto de filtros**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Resumen**.

1. En el menú **Seleccionar un conjunto de filtros** situado encima de la página **Resumen**, seleccione el conjunto de filtros.

1. En el menú **Borrar filtros**, haga una de las siguientes operaciones:
   + Para actualizar el conjunto de filtros, seleccione **Actualizar conjunto de filtros actual**. A continuación, ingrese sus cambios en el cuadro de diálogo que aparece.
   + Para eliminar el conjunto de filtros, seleccione **Eliminar conjunto de filtros actual**. A continuación, en el cuadro de diálogo que aparece, seleccione **Eliminar**.

# Personalización del panel Resumen en el CSPM de Security Hub
<a name="customize-dashboard"></a>

Puede personalizar el panel **Resumen** en la consola del CSPM de Security Hub de varias maneras. Por ejemplo, puede agregar y eliminar widgets del panel. También puede reorganizar y cambiar el tamaño de los widgets del panel. Para consultar la lista de widgets disponibles y la descripción de cada uno, consulte [Widgets disponibles para el panel Resumen](dashboard.md#available-widgets).

Si personaliza el panel, el CSPM de Security Hub aplica los cambios de inmediato y guarda la nueva configuración del panel. Los cambios se aplican a la vista del panel de control en todos Regiones de AWS los navegadores.

**Personalización del panel **Resumen****

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Resumen**.

1. Realice uno de los siguientes procedimientos:
   + Para agregar un widget, seleccione **Agregar widgets** en la esquina superior derecha de la página. En la barra de búsqueda, ingrese el título del widget que desea agregar. A continuación, arrastre el widget a la ubicación que desee.
   + Para eliminar un widget, seleccione los tres puntos que aparecen en la esquina superior derecha del widget.
   + Para mover un widget, seleccione el controlador que está en su esquina superior izquierda y, a continuación, arrastre el widget a la ubicación que desee.
   + Para cambiar el tamaño de un widget, elija el controlador de cambio de tamaño que está en su esquina inferior derecha. Arrastre el borde del widget hasta que tenga el tamaño que prefiera.

Para restaurar posteriormente la configuración original, seleccione **Restablecer al diseño predeterminado** en la parte superior de la página.

# Límites regionales del CSPM de Security Hub
<a name="securityhub-regions"></a>

Algunas funciones CSPM de AWS Security Hub solo están disponibles en algunas. Regiones de AWS En las siguientes secciones se especifican estos límites regionales. Para obtener una lista de todas las regiones en las que el CSPM de Security Hub se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas del CSPM de AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) en la *Referencia general de AWS*.

## Restricciones de agregación entre regiones
<a name="securityhub-regions-finding-aggregation-support"></a>

En AWS GovCloud (US) Regions, [la agregación entre regiones solo](finding-aggregation.md) está disponible para los hallazgos, las actualizaciones de las búsquedas y la información de carácter global. AWS GovCloud (US) Regions En concreto, solo puede agregar los hallazgos, las actualizaciones y los conocimientos entre las regiones (EE. UU. Este) y AWS GovCloud AWS GovCloud (EE. UU. Oeste).

En las regiones de China, la agregación entre regiones solo está disponible para los resultados, las actualizaciones de resultados y los hallazgos de las regiones de China. En concreto, solo puede agregar resultados, actualizaciones de resultados y productos de información entre las regiones China (Pekín) y China (Ningxia).

No puede usar una región que esté desactivada de forma predeterminada como región de agregación. Para ver una lista de las regiones que están deshabilitadas de forma predeterminada, consulta la [sección Habilitar o deshabilitar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la Guía de *AWS Account Management referencia*.

## Disponibilidad de las integraciones por región
<a name="securityhub-regions-integration-support"></a>

Algunas integraciones no están disponibles en todas Regiones de AWS. En la consola del CSPM de Security Hub, una integración no aparece en la página de **Integraciones** si no está disponible en la región en la que ha iniciado sesión.

### Integraciones admitidas en las regiones China (Pekín) y China (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

En las regiones China (Pekín) y China (Ningxia), el CSPM de Security Hub admite únicamente las siguientes [integraciones con Servicios de AWS](securityhub-internal-providers.md):
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Administrador de parches

En las regiones China (Pekín) y China (Ningxia), el CSPM de Security Hub admite únicamente las siguientes [integraciones con terceros](securityhub-partner-providers.md):
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Se admiten integraciones en las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste)
<a name="securityhub-regions-integration-support-govcloud"></a>

[En las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste), Security Hub CSPM solo admite las siguientes integraciones con: Servicios de AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ Analizador de acceso de IAM
+ Amazon Inspector
+ AWS IoT Device Defender

[En las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste), Security Hub CSPM solo admite las siguientes integraciones de terceros:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponible solo en (EE. UU. Oeste)) AWS GovCloud 
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Disponibilidad de los estándares por región
<a name="securityhub-regions-standards-support"></a>

El [estándar AWS Control Tower de gestión de servicios](service-managed-standard-aws-control-tower.md) solo está disponible en Regiones de AWS aquellos soportes. AWS Control Tower Para obtener una lista de las regiones compatibles AWS Control Tower actualmente, consulte [Cómo Regiones de AWS trabajar con](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) ellas AWS Control Tower en la Guía del *AWS Control Tower usuario*.

El [estándar AWS de etiquetado de recursos](standards-tagging.md) no está disponible en la región de Asia Pacífico (Taipéi).

Hay otros estándares de seguridad disponibles en todas las regiones en las que el CSPM de Security Hub está disponible.

## Disponibilidad de los controles por región
<a name="securityhub-regions-control-support"></a>

Algunos controles CSPM de Security Hub no están disponibles en todos. Regiones de AWSPara obtener una lista de los controles que no están disponibles en cada región, consulte [Límites regionales de los controles del CSPM de Security Hub](regions-controls.md).

En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.

# Límites regionales de los controles del CSPM de Security Hub
<a name="regions-controls"></a>

Algunos controles CSPM de AWS Security Hub no están disponibles en todos. Regiones de AWS Esta página indica qué controles no están disponibles en regiones específicas.

En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.

**Topics**
+ [Este de EE. UU. (Norte de Virginia)](#securityhub-control-support-useast1)
+ [Este de EE. UU. (Ohio)](#securityhub-control-support-useast2)
+ [Oeste de EE. UU. (Norte de California)](#securityhub-control-support-uswest1)
+ [Oeste de EE. UU. (Oregón)](#securityhub-control-support-uswest2)
+ [África (Ciudad del Cabo)](#securityhub-control-support-afsouth1)
+ [Asia-Pacífico (Hong Kong)](#securityhub-control-support-apeast1)
+ [Asia-Pacífico (Hyderabad)](#securityhub-control-support-apsouth2)
+ [Asia-Pacífico (Yakarta)](#securityhub-control-support-apsoutheast3)
+ [Asia-Pacífico (Malasia)](#securityhub-control-support-apsoutheast5)
+ [Asia-Pacífico (Melbourne)](#securityhub-control-support-apsoutheast4)
+ [Asia-Pacífico (Mumbai)](#securityhub-control-support-apsouth1)
+ [Asia-Pacífico (Nueva Zelanda)](#securityhub-control-support-apsoutheast6)
+ [Asia-Pacífico (Osaka)](#securityhub-control-support-apnortheast3)
+ [Asia-Pacífico (Seúl)](#securityhub-control-support-apnortheast2)
+ [Asia-Pacífico (Singapur)](#securityhub-control-support-apsoutheast1)
+ [Asia-Pacífico (Sídney)](#securityhub-control-support-apsoutheast2)
+ [Asia-Pacífico (Taipéi)](#securityhub-control-support-apeast2)
+ [Asia-Pacífico (Tailandia)](#securityhub-control-support-apsoutheast7)
+ [Asia-Pacífico (Tokio)](#securityhub-control-support-apnortheast1)
+ [Canadá (centro)](#securityhub-control-support-cacentral1)
+ [Oeste de Canadá (Calgary)](#securityhub-control-support-cawest1)
+ [China (Pekín)](#securityhub-control-support-cnnorth1)
+ [China (Ningxia)](#securityhub-control-support-cnnorthwest1)
+ [Europa (Fráncfort)](#securityhub-control-support-eucentral1)
+ [Europa (Irlanda)](#securityhub-control-support-euwest1)
+ [Europa (Londres)](#securityhub-control-support-euwest2)
+ [Europa (Milán)](#securityhub-control-support-eusouth1)
+ [Europa (París)](#securityhub-control-support-euwest3)
+ [Europa (España)](#securityhub-control-support-eusouth2)
+ [Europa (Estocolmo)](#securityhub-control-support-eunorth1)
+ [Europa (Zúrich)](#securityhub-control-support-eucentral2)
+ [Israel (Tel Aviv)](#securityhub-control-support-ilcentral1)
+ [México (centro)](#securityhub-control-support-mxcentral1)
+ [Middle East (Bahrain)](#securityhub-control-support-mesouth1)
+ [Medio Oriente (EAU)](#securityhub-control-support-mecentral1)
+ [América del Sur (São Paulo)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (Este de EE. UU.)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (EEUU-Oeste)](#securityhub-control-support-usgovwest1)

## Este de EE. UU. (Norte de Virginia)
<a name="securityhub-control-support-useast1"></a>

Los siguientes controles no se admiten en la región este de EE. UU. (norte de Virginia).
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 

## Este de EE. UU. (Ohio)
<a name="securityhub-control-support-useast2"></a>

Los siguientes controles no se admiten en la región este de EE. UU. (Ohio).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Oeste de EE. UU. (Norte de California)
<a name="securityhub-control-support-uswest1"></a>

Los siguientes controles no se admiten en la región oeste de EE. UU. (norte de California).
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Oeste de EE. UU. (Oregón)
<a name="securityhub-control-support-uswest2"></a>

Los siguientes controles no se admiten en la región oeste de EE. UU. (Oregón).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## África (Ciudad del Cabo)
<a name="securityhub-control-support-afsouth1"></a>

Los siguientes controles no se admiten en la región África (Ciudad del Cabo).
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Asia-Pacífico (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Hong Kong).
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Hyderabad).
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Yakarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Yakarta).
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Malasia)
<a name="securityhub-control-support-apsoutheast5"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Malasia).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Melbourne).
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Bombay).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Asia-Pacífico (Nueva Zelanda)
<a name="securityhub-control-support-apsoutheast6"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Nueva Zelanda).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2) 
+  [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 
+  [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 
+  [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 
+  [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 
+  [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Osaka).
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Seúl)
<a name="securityhub-control-support-apnortheast2"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Seúl).
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Asia-Pacífico (Singapur)
<a name="securityhub-control-support-apsoutheast1"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Singapur).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Asia-Pacífico (Sídney)
<a name="securityhub-control-support-apsoutheast2"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Sídney).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Asia-Pacífico (Taipéi)
<a name="securityhub-control-support-apeast2"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Taipéi).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[ACM.3] Los certificados ACM deben estar etiquetados](acm-controls.md#acm-3) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2) 
+  [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados](autoscaling-controls.md#autoscaling-10) 
+  [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2) 
+  [[Backup.3] las AWS Backup bóvedas deben estar etiquetadas](backup-controls.md#backup-3) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados](backup-controls.md#backup-5) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-33) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.35] Las interfaces de red de EC2 deben etiquetarse](ec2-controls.md#ec2-35) 
+  [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36) 
+  [[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse](ec2-controls.md#ec2-37) 
+  [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38) 
+  [[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse](ec2-controls.md#ec2-39) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.41] La red EC2 debe estar etiquetada ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse](ec2-controls.md#ec2-42) 
+  [[EC2.43] Los grupos de seguridad de EC2 deben etiquetarse](ec2-controls.md#ec2-43) 
+  [[EC2.44] Las subredes de EC2 deben etiquetarse](ec2-controls.md#ec2-44) 
+  [[EC2.45] Los volúmenes de EC2 deben etiquetarse](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs debe estar etiquetado](ec2-controls.md#ec2-46) 
+  [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47) 
+  [[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-48) 
+  [[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-49) 
+  [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) 
+  [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] Los servicios de ECS deben estar etiquetados](ecs-controls.md#ecs-13) 
+  [[ECS.14] Los clústeres de ECS deben etiquetarse](ecs-controls.md#ecs-14) 
+  [[ECS.15] Las definiciones de tareas de ECS deben etiquetarse](ecs-controls.md#ecs-15) 
+  [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 
+  [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.5] Los puntos de acceso de EFS deben etiquetarse](efs-controls.md#efs-5) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.6] Los clústeres de EKS deben etiquetarse](eks-controls.md#eks-6) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) 
+  [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 
+  [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5) 
+  [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6) 
+  [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7) 
+  [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8) 
+  [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9) 
+  [[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 
+  [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22) 
+  [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28) 
+  [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29) 
+  [[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-30) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-32) 
+  [[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-33) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 
+  [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 
+  [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 
+  [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 
+  [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Los temas de SNS deben etiquetarse](sns-controls.md#sns-3) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2) 
+  [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Tailandia)
<a name="securityhub-control-support-apsoutheast7"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Tailandia).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2) 
+  [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 
+  [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Asia-Pacífico (Tokio)
<a name="securityhub-control-support-apnortheast1"></a>

Los siguientes controles no se admiten en la región Asia-Pacífico (Tokio).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Canadá (centro)
<a name="securityhub-control-support-cacentral1"></a>

Los siguientes controles no se admiten en la región Canadá (centro).
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Oeste de Canadá (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Los siguientes controles no se admiten en la región Oeste de Canadá (Calgary).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## China (Pekín)
<a name="securityhub-control-support-cnnorth1"></a>

Los siguientes controles no se admiten en la región China (Pekín).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) 
+  [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 
+  [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## China (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Los siguientes controles no se admiten en la región China (Ningxia).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36) 
+  [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Europa (Fráncfort)
<a name="securityhub-control-support-eucentral1"></a>

Los siguientes controles no se admiten en la región Europa (Fráncfort).
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Europa (Irlanda)
<a name="securityhub-control-support-euwest1"></a>

Los siguientes controles no se admiten en la región Europa (Irlanda).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Europa (Londres)
<a name="securityhub-control-support-euwest2"></a>

Los siguientes controles no se admiten en la región Europa (Londres).
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## Europa (Milán)
<a name="securityhub-control-support-eusouth1"></a>

Los siguientes controles no se admiten en la región Europa (Milán).
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Europa (París)
<a name="securityhub-control-support-euwest3"></a>

Los siguientes controles no se admiten en la región Europa (París).
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Europa (España)
<a name="securityhub-control-support-eusouth2"></a>

Los siguientes controles no se admiten en la región Europa (España).
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Europa (Estocolmo)
<a name="securityhub-control-support-eunorth1"></a>

Los siguientes controles no se admiten en la región Europa (Estocolmo).
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Europa (Zúrich)
<a name="securityhub-control-support-eucentral2"></a>

Los siguientes controles no se admiten en la región Europa (Zúrich).
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Israel (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Los siguientes controles no se admiten en la región Israel (Tel Aviv).
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## México (centro)
<a name="securityhub-control-support-mxcentral1"></a>

Los siguientes controles no se admiten en la región México (centro).
+  [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34) 
+  [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53) 
+  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 
+  [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 
+  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 
+  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 
+  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 
+  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 
+  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 
+  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 
+  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4) 
+  [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5) 
+  [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38) 
+  [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 
+  [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 
+  [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 
+  [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 
+  [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22) 
+  [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Middle East (Bahrain)
<a name="securityhub-control-support-mesouth1"></a>

Los siguientes controles no se admiten en la región Medio Oriente (Baréin).
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## Medio Oriente (EAU)
<a name="securityhub-control-support-mecentral1"></a>

Los siguientes controles no se admiten en la región Medio Oriente (EAU).
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3) 
+  [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4) 
+  [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 
+  [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## América del Sur (São Paulo)
<a name="securityhub-control-support-saeast1"></a>

Los siguientes controles no se admiten en la región América del Sur (São Paulo).
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1) 
+  [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2) 
+  [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

## AWS GovCloud (Este de EE. UU.)
<a name="securityhub-control-support-usgoveast1"></a>

Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Este).
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47) 
+  [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1) 
+  [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (EEUU-Oeste)
<a name="securityhub-control-support-usgovwest1"></a>

Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Oeste).
+  [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 
+  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 
+  [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4) 
+  [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1) 
+  [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2) 
+  [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3) 
+  [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 
+  [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 
+  [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174) 
+  [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175) 
+  [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176) 
+  [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177) 
+  [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178) 
+  [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179) 
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 
+  [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24) 
+  [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25) 
+  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28) 
+  [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1) 
+  [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2) 
+  [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 
+  [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 
+  [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 
+  [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1) 
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 
+  [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 
+  [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 
+  [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# Creación de recursos CSPM de Security Hub con CloudFormation
<a name="creating-resources-with-cloudformation"></a>

AWS Security Hub con el que se integra CSPM AWS CloudFormation, un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Cree una plantilla que describa todos los AWS recursos que desee (como las reglas de automatización) y CloudFormation aprovisione y configure esos recursos por usted.

Cuando la utilice CloudFormation, podrá reutilizar la plantilla para configurar los recursos de CSPM de su Security Hub de forma coherente y repetida. Describa sus recursos una vez y, a continuación, aprovisione los mismos recursos una y otra vez en varias regiones Cuentas de AWS . 

## Security Hub, CSPM y plantillas CloudFormation
<a name="working-with-templates"></a>

Para aprovisionar y configurar los recursos del CSPM de Security Hub y los servicios relacionados, debe entender cómo funcionan las [plantillas de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Las plantillas son archivos de texto en formato JSON o YAML. Estas plantillas describen los recursos que desea aprovisionar en sus CloudFormation pilas.

Si no estás familiarizado con JSON o YAML, puedes usar CloudFormation Designer para ayudarte a empezar con CloudFormation las plantillas. Para obtener más información, consulta [¿Qué es CloudFormation Designer?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) en la *Guía AWS CloudFormation del usuario*.

Puede crear CloudFormation plantillas para los siguientes tipos de recursos CSPM de Security Hub:
+ Habilitación del CSPM de Security Hub
+ Designación del administrador delegado del CSPM de Security Hub para una organización
+ Especificación de la forma en que está configurada la organización en el CSPM de Security Hub
+ Habilitación de un estándar de seguridad
+ Habilitación de agregación entre regiones
+ Crear una política de configuración central y asociarla a las cuentas, a la unidad organizativa (OUs) o a la raíz
+ Creación de hallazgos personalizados
+ Creación de una regla de automatización
+ Personalización de parámetros de control
+ Suscripción a una integración de productos de terceros

Para obtener más información, incluidos ejemplos de plantillas JSON y YAML para recursos, consulte la [Referencia del tipo de recurso del CSPM de AWS Security Hub](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html) en la *Guía del usuario de AWS CloudFormation *.

## Obtenga más información sobre CloudFormation
<a name="learn-more-cloudformation"></a>

Para obtener más información CloudFormation, consulte los siguientes recursos:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guía del usuario](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation Referencia de la API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guía del usuario de la interfaz de línea de comandos](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Suscripción a los anuncios del CSPM de Security Hub con Amazon SNS
<a name="securityhub-announcements"></a>

En esta sección se proporciona información sobre cómo suscribirse a los AWS anuncios de CSPM de Security Hub con Amazon Simple Notification Service (Amazon SNS) para recibir notificaciones sobre Security Hub CSPM. 

Tras suscribirse, recibirá notificaciones sobre los siguientes eventos (tenga en cuenta el `AnnouncementType` correspondiente a cada evento):
+ `GENERAL`: notificaciones generales sobre el servicio el CSPM de Security Hub.
+ `UPCOMING_STANDARDS_CONTROLS`: próximamente se publicarán controles o estándares específicos del CSPM de Security Hub. Este tipo de anuncio lo ayuda a preparar los flujos de trabajo de respuesta y corrección antes del lanzamiento.
+ `NEW_REGIONS`: compatibilidad con el CSPM de Security Hub está disponible en una nueva Región de AWS.
+ `NEW_STANDARDS_CONTROLS`: se han agregado nuevos controles o estándares del CSPM de Security Hub.
+ `UPDATED_STANDARDS_CONTROLS`: se han actualizado controles o estándares existentes del CSPM de Security Hub.
+ `RETIRED_STANDARDS_CONTROLS`: se han retirado controles o estándares existentes del CSPM de Security Hub.
+ `UPDATED_ASFF`— Se han actualizado la sintaxis, los campos o los valores del formato de búsqueda de AWS seguridad (ASFF).
+ `NEW_INTEGRATION`— Están disponibles nuevas integraciones con otros AWS servicios o productos de terceros.
+ `NEW_FEATURE`: hay disponibles nuevas características del CSPM de Security Hub.
+ `UPDATED_FEATURE`: se han actualizado las características existentes del CSPM de Security Hub.

Las notificaciones están disponibles en todos los formatos que admite Amazon SNS. Puede suscribirse a los anuncios del CSPM de Security Hub en todas las [Regiones de AWS en las que el CSPM de Security Hub se encuentra disponible](https://docs.aws.amazon.com/general/latest/gr/sechub.html).

Un usuario debe disponer de permisos de `Subscribe` para suscribirse a un tema de Amazon SNS. Puede lograrlo con las políticas de Amazon SNS, las políticas de IAM o ambas. Para obtener más información, consulte [Uso en conjunto de políticas y roles de IAM y Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

**nota**  
El CSPM de Security Hub envía anuncios de Amazon SNS sobre actualizaciones del servicio del CSPM de Security Hub a cualquier Cuenta de AWS suscrita. Para recibir notificaciones sobre los resultados del CSPM de Security Hub, consulte [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md).

Puede suscribirse a una cola de Amazon Simple Queue Service (Amazon SQS) sobre un tema de Amazon SNS, pero debe utilizar un tema de Amazon SNS nombre de recurso de Amazon (ARN) que se encuentre en la misma región. Para obtener más información, consulte [Suscripción a una cola de un tema de Amazon SNS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) en la *Guía para desarrolladores de Amazon Simple Queue Service*.

También puedes usar una AWS Lambda función para invocar eventos cuando recibas notificaciones. Para obtener más información, incluido un ejemplo de código de función, consulte el [Tutorial: Uso AWS Lambda con Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) en la *Guía para AWS Lambda desarrolladores*.

El tema de Amazon SNS ARNs para cada región es el siguiente.


| Región de AWS | ARN del tema de Amazon SNS | 
| --- | --- | 
| Este de EE. UU. (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| Este de EE. UU. (Norte de Virginia) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| Oeste de EE. UU. (Norte de California) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| Oeste de EE. UU. (Oregón) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| África (Ciudad del Cabo) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| Asia-Pacífico (Hong Kong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| Asia-Pacífico (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| Asia-Pacífico (Yakarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| Asia-Pacífico (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| Asia-Pacífico (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| Asia-Pacífico (Seúl) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| Asia-Pacífico (Singapur) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| Asia-Pacífico (Sídney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| Asia-Pacífico (Tokio) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| Canadá (centro) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| China (Pekín) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| China (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| Europa (Fráncfort) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| Europa (Irlanda) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| Europa (Londres) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| Europa (Milán) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| Europa (París) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| Europa (España) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| Europa (Estocolmo) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| Europa (Zúrich) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| Israel (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| Middle East (Bahrain) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| Medio Oriente (EAU) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| América del Sur (São Paulo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (Este de EE. UU.) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (Estados Unidos-Oeste) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

Los mensajes suelen ser los mismos en todas las regiones de una [partición](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), por lo que puede suscribirse a una región de cada partición para recibir anuncios que afecten a todas las regiones de esa partición. Los anuncios asociados a las cuentas miembro no se replican en la cuenta de administrador. Como resultado, cada cuenta, incluida la cuenta de administrador, tendrá una única copia de cada anuncio. Puede decidir qué cuenta quiere usar para suscribirse a los anuncios del CSPM de Security Hub.

Para conocer el costo de suscribirse a los anuncios del CSPM de Security Hub, consulte la página de [precios de Amazon SNS](https://aws.amazon.com/sns/pricing/).

**Suscripción a los anuncios del CSPM de Security Hub (consola)**

1. [Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.](https://console.aws.amazon.com/sns/v3/home)

1. En la lista de regiones, seleccione la región en la que desea suscribirse a los anuncios del CSPM de Security Hub. En este ejemplo se utiliza la región `us-west-2`.

1. En el panel de navegación, seleccione **Suscripciones** y, a continuación, elija **Crear suscripción**.

1. Escriba el ARN del tema en el cuadro de texto **ARN del tema**. Por ejemplo, `arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`.

1. En **Protocolo**, seleccione cómo desea recibir los anuncios sobre el CSPM de Security Hub. Si elige **Correo electrónico**, en **Punto de conexión**, introduzca la dirección de correo electrónico que desee usar para recibir anuncios.

1. Seleccione **Crear suscripción**.

1. Confirme la suscripción. Por ejemplo, si ha elegido un protocolo de correo electrónico, Amazon SNS enviará un mensaje de confirmación de la suscripción a la dirección de correo electrónico facilitada.

**Suscripción a los anuncios del CSPM de Security Hub (AWS CLI)**

1. Use el siguiente comando:

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. Confirme la suscripción. Por ejemplo, si ha elegido un protocolo de correo electrónico, Amazon SNS enviará un mensaje de confirmación de la suscripción a la dirección de correo electrónico facilitada.

## Formato de los mensajes de Amazon SNS
<a name="securityhub-announcements-example"></a>

Los siguientes ejemplos muestran anuncios del CSPM de Security Hub desde Amazon SNS sobre la incorporación de nuevos controles de seguridad. El contenido de los mensajes varía según el tipo de anuncio, pero el formato es el mismo para todos los tipos de anuncios. Opcionalmente, se puede incluir un campo de `Link` que proporcione detalles sobre el anuncio.

**Ejemplo: anuncio del CSPM de Security Hub sobre nuevos controles (protocolo de correo electrónico)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**Ejemplo: anuncio del CSPM de Security Hub sobre nuevos controles (protocolo JSON por correo electrónico)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Cómo desactivar el CSPM de Security Hub
<a name="securityhub-disable"></a>

Puede deshabilitar el CSPM de AWS Security Hub mediante la consola CSPM de Security Hub o la API de Security Hub. Si deshabilita el CSPM de Security Hub, puede habilitarlo de nuevo más adelante.

Si su organización utiliza la configuración central, el administrador delegado de CSPM del Security Hub puede crear políticas de configuración que inhabiliten el Security Hub CSPM para cuentas y unidades organizativas específicas () y OUs mantengan el Security Hub CSPM activado para otras. Las políticas de configuración afectan tanto a la región principal como a todas las regiones vinculadas. Para obtener más información, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Si desactiva el CSPM de Security Hub para una cuenta, ocurre lo siguiente:
+ Todos los estándares y controles del CSPM de Security Hub se deshabilitan para la cuenta.
+ El CSPM de Security Hub deja de generar, actualizar e ingerir resultados para la cuenta.
+ Después de 30 días, el CSPM de Security Hub elimina de forma permanente todos los resultados archivados existentes de la cuenta. Los resultados no se pueden recuperar mediante el uso del CSPM de Security Hub.
+ Después de 90 días, el CSPM de Security Hub elimina de forma permanente todos los resultados activos existentes de la cuenta. Los resultados no se pueden recuperar mediante el uso del CSPM de Security Hub.
+ Después de 90 días, el CSPM de Security Hub elimina de forma permanente toda la información existente y la configuración del CSPM de Security Hub correspondiente a la cuenta. Los datos y la configuración no se pueden recuperar.

Para retener los resultados existentes, puede exportarlos a un bucket de S3 antes de deshabilitar el CSPM de Security Hub. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

Si vuelve a habilitar el CSPM de Security Hub en un plazo de 90 días tras haberlo deshabilitado en una cuenta, recuperará el acceso a los resultados activos existentes, así como a la información y a la configuración del CSPM de Security Hub para la cuenta. Si vuelve a habilitar el CSPM de Security Hub en un plazo de 30 días, también recuperará el acceso a los resultados archivados existentes de la cuenta. Sin embargo, los resultados existentes pueden ser inexactos porque reflejarán el estado de su AWS entorno cuando deshabilitó Security Hub CSPM. Además, al volver a habilitar los estándares y controles individuales, Security Hub CSPM podría generar inicialmente resultados duplicados para AWS recursos específicos, en función de los estándares y controles que habilite. Por estas razones, recomendamos que realice una de las siguientes acciones:
+ Cambie el estado del flujo de trabajo de todos los resultados existentes a `RESOLVED` antes de deshabilitar el CSPM de Security Hub. Para obtener más información, consulte [Configuración del estado de flujo de trabajo de los resultados](findings-workflow-status.md).
+ Deshabilite todos los estándares al menos seis días antes de deshabilitar el CSPM de Security Hub. El CSPM de Security Hub archiva todos los resultados existentes dentro de lo posible, normalmente en un plazo de tres a cinco días. Para obtener más información, consulte [Desactivación de un estándar](disable-standards.md).

No puede desactivar el CSPM de Security Hub en los siguientes casos:
+ La cuenta es la cuenta de administrador delegado del CSPM de Security Hub para una organización. Si usa configuración centralizada, no puede asociar una política de configuración que desactive el CSPM de Security Hub para la cuenta de administrador delegado. La asociación puede funcionar para otras cuentas, pero el CSPM de Security Hub no aplica la política a la cuenta de administrador delegado.
+ La cuenta es una cuenta de administrador del CSPM de Security Hub por invitación y tiene cuentas de miembro. Antes de poder desactivar el CSPM de Security Hub, debe desasociar todas las cuentas de miembro. Para aprender a hacerlo, consulte [Cómo desasociar cuentas de miembro en el CSPM de Security Hub](securityhub-disassociate-members.md).

Antes de que el propietario de una cuenta de miembro pueda desactivar el CSPM de Security Hub, la cuenta se debe desasociar de la cuenta de administrador. Para una cuenta de organización, solo la cuenta de administrador puede desvincular una cuenta de miembro. Para obtener más información, consulte [Desasociación de cuentas de miembro del CSPM de Security Hub de la organización](accounts-orgs-disassociate.md). En el caso de cuentas invitadas manualmente, la cuenta de administrador o la cuenta de miembro pueden desasociar la cuenta. Para obtener más información, consulte [Cómo desasociar cuentas de miembro en el CSPM de Security Hub](securityhub-disassociate-members.md) o [Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub](securityhub-disassociate-from-admin.md). No es necesario desasociar si usa la configuración centralizada, ya que el administrador del CSPM de Security Hub puede crear una política que desactive el CSPM de Security Hub para cuentas de miembro específicas.

Cuando inhabilitas el CSPM de Security Hub para una cuenta, solo se inhabilita en la cuenta actual. Región de AWS Sin embargo, si usa la configuración centralizada para desactivar el CSPM de Security Hub para cuentas específicas, este se desactiva en la región de inicio y en todas las regiones vinculadas.

Para desactivar el CSPM de Security Hub, elija el método que prefiera y siga los pasos.

------
#### [ Security Hub CSPM console ]

Siga estos pasos para utilizar la consola para desactivar el CSPM de Security Hub.

**Para desactivar el CSPM de Security Hub**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, en **Configuración**, seleccione **General**.

1. En la sección **Desactivar Security Hub CSPM**, elija **Desactivar Security Hub CSPM**.

1. Cuando se solicite confirmación, elija **Desactivar el CSPM de Security Hub**.

------
#### [ Security Hub API ]

Para deshabilitar el CSPM de Security Hub mediante programación, utilice el [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)funcionamiento de la API de Security Hub AWS . O bien, si está utilizando el AWS CLI, ejecute el comando. [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html) Por ejemplo, el siguiente comando desactiva el CSPM de Security Hub en la versión actual: Región de AWS

```
$ aws securityhub disable-security-hub
```

------

# Seguridad en AWS Security Hub CSPM
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a AWS Security Hub CSPM, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.

Esta documentación le ayuda a entender cómo aplicar el modelo de responsabilidad compartida al utilizar Security Hub CSPM. En los temas siguientes se muestra cómo configurar Security Hub CSPM para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger los recursos de CSPM de Security Hub.

**Topics**
+ [Protección de datos en AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management para Security Hub (CSPM)](security-iam.md)
+ [Validación de conformidad para AWS Security Hub CSPM](securityhub-compliance.md)
+ [Resiliencia en AWS Security Hub](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM y puntos finales de VPC de interfaz ()AWS PrivateLink](security-vpc-endpoints.md)

# Protección de datos en AWS Security Hub CSPM
<a name="data-protection"></a>

El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en. AWS Security Hub CSPM Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Security Hub, CSPM u otro Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Security Hub CSPM es una oferta de servicios multiusuario. Para garantizar la protección de los datos, Security Hub CSPM cifra los datos en reposo y los datos en tránsito entre los servicios de los componentes.

# AWS Identity and Access Management para Security Hub (CSPM)
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede estar *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Security Hub. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Security Hub con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS políticas gestionadas para Security Hub](security-iam-awsmanpol.md)
+ [Solución de problemas de AWS Security Hub CSPM identidad y acceso](security_iam_troubleshoot.md)

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de AWS Security Hub CSPM identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Security Hub con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

 AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Cómo funciona Security Hub con IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar AWS Identity and Access Management (IAM) para administrar el acceso AWS Security Hub CSPM, averigüe qué funciones de IAM están disponibles para su uso con Security Hub CSPM.


**Funciones de IAM que puede utilizar con AWS Security Hub CSPM**  

| Característica de IAM | Soporte de Security Hub CSPM | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   No   | 
|  [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [Listas de control de acceso () ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [Control de acceso basado en atributos (ABAC) – etiquetas en políticas](#security_iam_service-with-iam-tags)  |   Sí  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   Sí  | 

*Para obtener una visión general de cómo Servicios de AWS funcionan Security Hub, CSPM y otras funciones con la mayoría de las funciones de IAM, consulte Servicios de AWS Cómo [funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Políticas basadas en identidad para Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

Security Hub CSPM admite políticas basadas en la identidad. Para obtener más información, consulte [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Políticas basadas en recursos para Security Hub CSPM
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Admite políticas basadas en recursos:** no 

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

Security Hub CSPM no admite políticas basadas en recursos. No puede adjuntar una política de IAM directamente a un recurso CSPM de Security Hub.

## Acciones políticas para Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Las acciones de política en Security Hub CSPM utilizan el siguiente prefijo antes de la acción:

```
securityhub:
```

Por ejemplo, para conceder a un usuario permiso para habilitar el CSPM de Security Hub, que es una acción que corresponde al `EnableSecurityHub` funcionamiento de la API CSPM de Security Hub, incluya la `securityhub:EnableSecurityHub` acción en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Security Hub CSPM define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.

```
"Action": "securityhub:EnableSecurityHub"
```

Para especificar varias acciones en una única instrucción, sepárelas con comas. Por ejemplo:

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

También puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Get`, incluya la siguiente acción:

```
"Action": "securityhub:Get*"
```

Sin embargo, recomendamos que las políticas se creen según el principio de privilegios mínimos. En otras palabras, debe crear políticas que incluyan solo los permisos necesarios para realizar una tarea específica.

El usuario debe tener acceso a la operación `DescribeStandardsControl` para poder acceder a `BatchGetSecurityControls`, `BatchGetStandardsControlAssociations` y `ListStandardsControlAssociations`.

El usuario debe tener acceso a la operación `UpdateStandardsControls` para poder acceder a `BatchUpdateStandardsControlAssociations` y `UpdateSecurityControl`.

Para obtener una lista de las acciones de CSPM de Security Hub, consulte [Acciones definidas AWS Security Hub CSPM en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) de *autorización del servicio*. Para ver ejemplos de políticas que especifican las acciones de CSPM de Security Hub, consulte. [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Recursos de políticas para Security Hub (CSPM)
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con recursos de políticas:** no 

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Security Hub CSPM define los siguientes tipos de recursos:
+ Hub
+ Producto
+ Agregador de resultados, también denominado *agregador entre regiones*
+ Regla de automatización
+ Configuración de políticas

Puede especificar estos tipos de recursos en las políticas mediante. ARNs

*Para obtener una lista de los tipos de recursos CSPM de Security Hub y la sintaxis del ARN de cada uno, consulte [Tipos de recursos definidos AWS Security Hub CSPM en la Referencia de autorización](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) de servicio.* Para saber qué acciones puede especificar para cada tipo de recurso, consulte [Acciones definidas por AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) en la *Referencia de autorizaciones de servicio*. Para ver ejemplos de políticas que especifican recursos, consulte [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Claves de condición de política para Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Para obtener una lista de las claves de condición CSPM de Security Hub, consulte [Claves de condición AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) en la Referencia de *autorización de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Para ver ejemplos de políticas que utilizan claves de condición, consulte [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Listas de control de acceso (ACLs) en Security Hub CSPM
<a name="security_iam_service-with-iam-acls"></a>

**Soporta ACLs**: No 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

El Security Hub CSPM no es compatible ACLs, lo que significa que no se puede conectar una ACL a un recurso CSPM del Security Hub.

## Control de acceso basado en atributos (ABAC) con Security Hub CSPM
<a name="security_iam_service-with-iam-tags"></a>

**Admite ABAC (etiquetas en las políticas):** sí

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

Puede adjuntar etiquetas a los recursos de CSPM de Security Hub. También puede controlar el acceso a los recursos proporcionando información sobre las etiquetas en el elemento `Condition` de una política.

Para obtener información sobre el etiquetado de los recursos de CSPM de Security Hub, consulte. [Etiquetado de recursos de Security Hub](tagging-resources.md) Para obtener un ejemplo de política basada en identidad que controla el acceso a un recurso basado en etiquetas, consulte [Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Uso de credenciales temporales con Security Hub (CSPM)
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

Security Hub CSPM admite el uso de credenciales temporales.

## Sesiones de acceso directo para Security Hub CSPM
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Por ejemplo, Security Hub CSPM envía solicitudes de FAS a Downstream Servicios de AWS cuando se integra el Security Hub CSPM AWS Organizations y cuando se designa la cuenta de administrador de CSPM de Security Hub delegada para una organización en Organizations.

Para otras tareas, Security Hub CSPM utiliza un rol vinculado a un servicio para realizar acciones en su nombre. Para obtener más información sobre este rol, consulte [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md).

## Funciones de servicio para Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service"></a>

Security Hub CSPM no asume ni utiliza funciones de servicio. Para realizar acciones en su nombre, Security Hub CSPM utiliza un rol vinculado a un servicio. Para obtener más información sobre este rol, consulte [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md).

**aviso**  
Cambiar los permisos de un rol de servicio puede provocar problemas operativos con el uso del Security Hub CSPM. Edite las funciones de servicio solo cuando Security Hub CSPM proporcione instrucciones para hacerlo.

## Funciones vinculadas a servicios para Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Security Hub CSPM utiliza un rol vinculado a un servicio para realizar acciones en su nombre. Para obtener más información sobre este rol, consulte [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md).

# Ejemplos de políticas basadas en la identidad para AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar los recursos CSPM de Security Hub. Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o AWS . Un administrador debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos que necesiten esos permisos.

Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.

**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola CSPM de Security Hub](#security_iam_id-based-policy-examples-console)
+ [Ejemplo: Permitir que los usuarios vean sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Ejemplo: Permitir a los usuarios crear y administrar una política de configuración](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Ejemplo: Permitir a los usuarios ver los resultados](#security_iam_id-based-policy-examples-view-findings)
+ [Ejemplo: Permitir a los usuarios crear y administrar reglas de automatización](#security_iam_id-based-policy-examples-create-automation-rule)

## Prácticas recomendadas relativas a políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Security Hub de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola CSPM de Security Hub
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la AWS Security Hub CSPM consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de CSPM del Security Hub que tiene. Cuenta de AWS Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que esos usuarios y roles puedan usar la consola CSPM de Security Hub, adjunte también la siguiente política AWS administrada a la entidad. Para obtener más información, consulte [Agregar de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Ejemplo: Permitir que los usuarios vean sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Ejemplo: Permitir a los usuarios crear y administrar una política de configuración
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

En este ejemplo, se muestra cómo crear una política de IAM que permita a un usuario crear, ver, actualizar y eliminar políticas de configuración. En este ejemplo de política, también se permite al usuario iniciar, detener y ver asociaciones de políticas. Para que esta política de IAM funcione, el usuario debe ser el administrador delegado de CSPM de Security Hub de una organización.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Ejemplo: Permitir a los usuarios ver los resultados
<a name="security_iam_id-based-policy-examples-view-findings"></a>

En este ejemplo se muestra cómo se puede crear una política de IAM que permita a un usuario ver las conclusiones del CSPM de Security Hub.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Ejemplo: Permitir a los usuarios crear y administrar reglas de automatización
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

En este ejemplo se muestra cómo se puede crear una política de IAM que permita a un usuario crear, ver, actualizar y eliminar las reglas de automatización de CSPM de Security Hub. Para que esta política de IAM funcione, el usuario debe ser administrador de Security Hub CSPM. Para limitar los permisos (por ejemplo, para permitir que un usuario solo vea las reglas de automatización), puede eliminar los permisos de creación, actualización y eliminación.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Funciones vinculadas al servicio para AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM [utiliza un rol vinculado a un AWS Identity and Access Management servicio (IAM) denominado.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) `AWSServiceRoleForSecurityHub` Esta función vinculada a un servicio es una función de IAM que está vinculada directamente a Security Hub CSPM. Está predefinido por Security Hub CSPM e incluye todos los permisos que Security Hub CSPM necesita para llamar a otros AWS recursos Servicios de AWS y supervisarlos en su nombre. Security Hub CSPM utiliza esta función vinculada a un servicio en todos los lugares en los que Security Regiones de AWS Hub CSPM esté disponible.

Un rol vinculado a un servicio facilita la configuración del CSPM de Security Hub, ya que no es necesario añadir manualmente los permisos necesarios. Security Hub CSPM define los permisos de su función vinculada al servicio y, a menos que se defina lo contrario, solo Security Hub CSPM puede asumir la función. Los permisos definidos incluyen las políticas de confianza y de permisos, y no puede asociar esa política de permisos a ninguna otra entidad de IAM.

Para revisar los detalles del rol vinculado al servicio, puede usar la consola CSPM de Security Hub. En el panel de navegación, elija **General** en **Configuración**. Luego, en la sección **Permisos del servicio**, elija **Ver permisos del servicio**.

Puede eliminar la función vinculada al servicio CSPM de Security Hub solo después de deshabilitar Security Hub CSPM en todas las regiones en las que está habilitada. Esto protege los recursos de CSPM de Security Hub porque no puede eliminar sin darse cuenta los permisos de acceso a ellos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM* y busque los servicios que tengan **Sí** en la columna **Roles vinculados a servicios**. Seleccione una opción **Sí** con una conexión para revisar la documentación acerca del rol vinculado a un servicio en cuestión.

**Topics**
+ [Permisos de roles vinculados a servicios para Security Hub CSPM](#slr-permissions)
+ [Creación de un rol vinculado a un servicio para Security Hub CSPM](#create-slr)
+ [Edición de un rol vinculado a un servicio para Security Hub CSPM](#edit-slr)
+ [Eliminar un rol vinculado a un servicio para Security Hub CSPM](#delete-slr)
+ [Función vinculada al servicio para AWS Security Hub V2](#slr-permissions-v2)

## Permisos de roles vinculados a servicios para Security Hub CSPM
<a name="slr-permissions"></a>

El CSPM de Security Hub usa el rol vinculado al servicio denominado. `AWSServiceRoleForSecurityHub` Es un rol vinculado a un servicio necesario para acceder a sus recursos. AWS Security Hub CSPM Esta función vinculada a un servicio permite a Security Hub CSPM realizar tareas como recibir las conclusiones de otros usuarios Servicios de AWS y configurar la AWS Config infraestructura necesaria para ejecutar comprobaciones de seguridad de los controles. El rol vinculado a servicios `AWSServiceRoleForSecurityHub` confía en el servicio `securityhub.amazonaws.com` para asumir el rol.

El rol vinculado al servicio `AWSServiceRoleForSecurityHub` utiliza la política administrada de [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol `AWSServiceRoleForSecurityHub` vinculado al servicio se cree correctamente, la identidad de IAM que utilice para acceder al CSPM de Security Hub debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Creación de un rol vinculado a un servicio para Security Hub CSPM
<a name="create-slr"></a>

El rol `AWSServiceRoleForSecurityHub` vinculado al servicio se crea automáticamente al habilitar el CSPM de Security Hub por primera vez o al habilitar el CSPM de Security Hub en una región en la que no lo habilitó anteriormente. También puede crear manualmente el rol vinculado al servicio de `AWSServiceRoleForSecurityHub` por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.

**importante**  
El rol vinculado al servicio que se crea para una cuenta de administrador de CSPM de Security Hub no se aplica a las cuentas de miembros de CSPM de Security Hub asociadas.

## Edición de un rol vinculado a un servicio para Security Hub CSPM
<a name="edit-slr"></a>

El CSPM de Security Hub no le permite editar el rol vinculado al `AWSServiceRoleForSecurityHub` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para Security Hub CSPM
<a name="delete-slr"></a>

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Al deshabilitar el CSPM de Security Hub, el CSPM de Security Hub no elimina automáticamente el rol vinculado al `AWSServiceRoleForSecurityHub` servicio. Si vuelve a habilitar Security Hub CSPM, el servicio podrá volver a utilizar la función vinculada al servicio existente. Si ya no necesita usar Security Hub CSPM, puede eliminar manualmente el rol vinculado al servicio.

**importante**  
Antes de eliminar el rol `AWSServiceRoleForSecurityHub` vinculado al servicio, primero debe deshabilitar el CSPM de Security Hub en todas las regiones en las que esté habilitado. Para obtener más información, consulte [Cómo desactivar el CSPM de Security Hub](securityhub-disable.md). Si el CSPM de Security Hub no está deshabilitado al intentar eliminar el rol vinculado al servicio, se produce un error en la eliminación.

Para eliminar el rol vinculado al servicio de `AWSServiceRoleForSecurityHub`, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Función vinculada al servicio para AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 usa el rol vinculado al servicio denominado. `AWSServiceRoleForSecurityHubV2` Este rol vinculado al servicio permite administrar AWS Config las reglas y los recursos de su organización y en su nombre. El rol vinculado a servicios `AWSServiceRoleForSecurityHubV2` confía en el servicio `securityhub.amazonaws.com` para asumir el rol.

El rol vinculado al servicio `AWSServiceRoleForSecurityHubV2` utiliza la política administrada de [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).

**Detalles de los permisos**  
 Esta política incluye los permisos siguientes: 
+  `cloudwatch`— Permite que el rol recupere datos de métricas para respaldar las capacidades de medición de los recursos. 
+  `config`— Permite gestionar los recursos de los registradores de configuración vinculados a servicios, incluido el soporte para grabadores globales. AWS Config 
+  `ecr`— Permite que el rol recupere información sobre las imágenes y los repositorios de Amazon Elastic Container Registry para respaldar las capacidades de medición. 
+  `iam`— Permite que el rol cree el rol vinculado al servicio AWS Config y recupere la información de la cuenta para respaldar las capacidades de medición. 
+  `lambda`— Permite que el rol recupere información de la AWS Lambda función para respaldar las capacidades de medición. 
+  `organizations`— Permite que el rol recupere información de la cuenta y la unidad organizativa (OU) de una organización. 
+  `securityhub`— Permite que el rol administre la configuración. 
+  `tag`— Permite que el rol recupere información sobre las etiquetas de recursos. 

Debe conceder permisos para permitir a una identidad de IAM (como un rol, grupo o usuario) crear, editar o eliminar un rol vinculado a un servicio. Para que el rol `AWSServiceRoleForSecurityHubV2` vinculado al servicio se cree correctamente, la identidad de IAM a la que se accede debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Crear un rol vinculado a un servicio para AWS Security Hub V2
<a name="create-slr-v2"></a>

El rol `AWSServiceRoleForSecurityHubV2` vinculado al servicio se crea automáticamente cuando lo habilitas por primera vez o lo habilitas en una región en la que no lo habilitaste anteriormente. También puede crear manualmente el rol vinculado al servicio de `AWSServiceRoleForSecurityHubV2` por medio de la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información acerca de cómo crear un rol manualmente, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.

**importante**  
El rol vinculado al servicio que se crea para una cuenta de administrador no se aplica a las cuentas de miembros asociadas.

### Edición de un rol vinculado a un servicio para AWS Security Hub V2
<a name="edit-slr-v2"></a>

 no le permite editar el rol vinculado al `AWSServiceRoleForSecurityHubV2` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

### Eliminar un rol vinculado a un servicio para AWS Security Hub V2
<a name="delete-slr-v2"></a>

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.

Cuando lo inhabilitas, no se elimina automáticamente el rol `AWSServiceRoleForSecurityHubV2` vinculado al servicio. Si lo vuelves a habilitar, el servicio podrá volver a utilizar el rol vinculado al servicio existente. Si ya no necesita usarlo, puede eliminar manualmente el rol vinculado al servicio.

**importante**  
Antes de eliminar el rol `AWSServiceRoleForSecurityHubV2` vinculado al servicio, primero debe deshabilitarlo en todas las regiones en las que esté habilitado. Para obtener más información, consulte [Cómo desactivar el CSPM de Security Hub](securityhub-disable.md). Si el servicio de está habilitado cuando intenta eliminar el rol vinculado al servicio, el rol no se eliminará.

Para eliminar el rol vinculado al servicio de `AWSServiceRoleForSecurityHubV2`, puede usar la consola de IAM, la CLI de IAM o la API de IAM. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

# AWS políticas gestionadas para Security Hub
<a name="security-iam-awsmanpol"></a>

Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.



## AWS política gestionada: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

Puede asociar la política `AWSSecurityHubFullAccess` a las identidades de IAM.

Esta política otorga permisos administrativos que permiten a una entidad principal obtener acceso completo a todas las acciones del CSPM de Security Hub. Esta política se debe asociar a una entidad principal antes de habilitar manualmente el CSPM de Security Hub para la cuenta. Por ejemplo, las entidades principales con estos permisos pueden tanto ver como actualizar el estado de los resultados. También pueden configurar resultados de información personalizados, habilitar integraciones, y habilitar o deshabilitar estándares y controles. Las entidades principales de una cuenta de administrador también pueden administrar cuentas miembro.

**Detalles de los permisos**

Esta política incluye los permisos siguientes:
+ `securityhub`: concede a las entidades principales acceso completo a todas las acciones del CSPM de Security Hub.
+ `guardduty`— Permite a los directores gestionar todo el ciclo de vida de un detector, gestionar la administración de la organización, gestionar las cuentas de los miembros y configurar toda la organización en Amazon. GuardDuty Esto incluye las acciones de la API: GetDetector, ListDetector, CreateDetector,, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts. CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration 
+ `iam`— Permite a los directores crear un rol vinculado a un servicio para Security Hub CSPM y Security Hub y obtener roles, políticas y versiones de políticas.
+ `inspector`— Permite a los directores obtener información sobre el estado de la cuenta, habilitarla o deshabilitarla, delegar la administración y realizar la administración de la configuración de la organización en Amazon Inspector. Esto incluye las acciones de la API: habilitar BatchGetAccountStatus, deshabilitar, EnableDelegatedAdminAccount, DisableDelegatedAdminAccount, ListDelegatedAdminAccounts UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `pricing`— Permite a los directores obtener una lista de precios Servicios de AWS y productos.
+ `account`— Permite a los directores obtener información sobre las regiones de la cuenta para facilitar la administración regional en Security Hub.

Para revisar los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html) en la *Guía de referencia de la política administrada de AWS *.

## AWS política gestionada: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

Puede asociar la política `AWSSecurityHubReadOnlyAccess` a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en el CSPM de Security Hub. Las entidades principales con esta política asociada no pueden realizar ninguna actualización en el CSPM de Security Hub. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de resultados asociados a su cuenta, pero no pueden cambiar el estado de un resultado. Pueden ver los resultados de las informaciones, pero no pueden crear ni configurar informaciones personalizadas. No pueden configurar controles ni integraciones de productos.

**Detalles de los permisos**

Esta política incluye los permisos siguientes:
+ `securityhub`: permite a los usuarios realizar acciones que devuelven una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de la API que comienzan con `Get`, `List` o `Describe`.

Para revisar los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html) en la *Guía de referencia de la política administrada de AWS *.

## AWS política gestionada: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 Puede asociar la política `AWSSecurityHubOrganizationsAccess` a las identidades de IAM. 

Esta política otorga permisos administrativos para habilitar y administrar Security Hub, Security Hub CSPM, Amazon GuardDuty y Amazon Inspector para una organización en. AWS Organizations Los permisos de esta política permiten a la cuenta de administración de la organización designar la cuenta de administrador delegado para Security Hub, Security Hub CSPM, Amazon y Amazon GuardDuty Inspector. También permiten que la cuenta de administrador delegado habilite las cuentas de la organización como cuentas de miembro. 

Esta política solo proporciona permisos para. AWS Organizations La cuenta de administración de la organización y la cuenta de administrador delegado también requieren permisos para las acciones asociadas. Estos permisos se pueden conceder mediante la política administrada de `AWSSecurityHubFullAccess`. 

La creación o actualización de una política de administrador delegado en una cuenta de administración requiere permisos adicionales que no se proporcionan en esta política. Para llevar a cabo estas acciones, se recomienda añadir permisos `organizations:PutResourcePolicy` o adjuntar la AWSOrganizations FullAccess política. 

**Detalles de los permisos**

Esta política incluye los permisos siguientes:
+ `organizations:ListAccounts`: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización.
+ `organizations:DescribeOrganization`: permite a las entidades principales recuperar información sobre la organización.
+ `organizations:ListRoots`: permite a las entidades principales enumerar la raíz de una organización.
+ `organizations:ListDelegatedAdministrators`: permite a las entidades principales enumerar el administrador delegado de una organización.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite a los directores enumerar lo Servicios de AWS que usa una organización.
+ `organizations:ListOrganizationalUnitsForParent`: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal.
+ `organizations:ListAccountsForParent`: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal.
+  `organizations:ListParents`— Muestra la raíz o las unidades organizativas (OUs) que actúan como matrices inmediatas de la unidad organizativa o cuenta secundaria especificada. 
+ `organizations:DescribeAccount`: permite a las entidades principales recuperar información de sobre una cuenta en una organización.
+ `organizations:DescribeOrganizationalUnit`: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización.
+  `organizations:ListPolicies`: recupera la lista de todas las políticas de una organización de un tipo especificado. 
+  `organizations:ListPoliciesForTarget`: enumera las políticas que están asociadas directamente con la raíz de destino, la unidad organizativa (UO) o la cuenta especificada. 
+  `organizations:ListTargetsForPolicy`— Muestra todas las raíces, unidades organizativas (OUs) y cuentas a las que está asociada la política especificada. 
+ `organizations:EnableAWSServiceAccess`: permite que las entidades principales habiliten la integración con Organizations.
+ `organizations:RegisterDelegatedAdministrator`: permite que las entidades principales designen la cuenta de administrador delegado.
+ `organizations:DeregisterDelegatedAdministrator`: permite que las entidades principales eliminen la cuenta de administrador delegado.
+  `organizations:DescribePolicy`: recupera información sobre una política. 
+  `organizations:DescribeEffectivePolicy`: devuelve el contenido de la política en vigor para el tipo de política y la cuenta especificados. 
+  `organizations:CreatePolicy`— Crea una política de un tipo específico que se puede adjuntar a una cuenta raíz, a una unidad organizativa (OU) o a una AWS cuenta individual. 
+  `organizations:UpdatePolicy`: actualiza una política existente con un nombre nuevo, una descripción nueva o contenido nuevo. 
+  `organizations:DeletePolicy`: elimina la política especificada de la organización. 
+  `organizations:AttachPolicy`: asocia una política a una raíz, una unidad organizativa (UO) o una cuenta individual. 
+  `organizations:DetachPolicy`: desasocia una política de una raíz de destino, una unidad organizativa (UO) o una cuenta. 
+  `organizations:EnablePolicyType`: habilita un tipo de política en una raíz. 
+  `organizations:DisablePolicyType`: deshabilita un tipo de política organizacional en una raíz. 
+  `organizations:TagResource`: agrega uno o más etiquetas a un recurso especificado. 
+  `organizations:UntagResource`: elimina cualquier etiqueta con las claves especificadas de un recurso indicado. 
+  `organizations:ListTagsForResource`: enumera las etiquetas asociadas a un recurso especificado. 
+  `organizations:DescribeResourcePolicy`— Recupera información sobre una política de recursos. 

Para revisar los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html) en la *Guía de referencia de la política administrada de AWS *.

## AWS política gestionada: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

No puede asociar `AWSSecurityHubServiceRolePolicy` a sus entidades IAM. Esta política está asociada a un rol vinculado al servicio que permite al CSPM de Security Hub realizar acciones en su nombre. Para obtener más información, consulte [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md).

Esta política otorga permisos administrativos que permiten que el rol vinculado al servicio realice tareas como ejecutar comprobaciones de seguridad para los controles del CSPM de Security Hub.

**Detalles de los permisos**

Esta política incluye los permisos siguientes:
+ `cloudtrail`— Recuperar información sobre CloudTrail senderos.
+ `cloudwatch`— Recuperar CloudWatch las alarmas actuales.
+ `logs`— Recuperar filtros métricos para CloudWatch los registros.
+ `sns`: recuperar la lista de suscripciones a un tema de SNS.
+ `config`— Recuperar información sobre los registradores de configuración, los recursos y AWS Config las reglas. También permite que el rol vinculado a un servicio cree y elimine reglas de AWS Config y ejecute evaluaciones en función de las reglas.
+ `iam`: obtener y generar informes de credenciales de cuentas.
+ `organizations`: recuperar información de cuentas y unidades organizativas (OU) de una organización.
+ `securityhub`: recuperar información sobre la configuración del servicio, los estándares y los controles del CSPM de Security Hub.
+ `tag`: recuperar información sobre las etiquetas de recursos.

Para revisar los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.

## AWS política gestionada: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**nota**  
 Security Hub se encuentra en versión preliminar y está sujeto a cambios. 

Esta política permite a Security Hub gestionar AWS Config las reglas y los recursos del Security Hub para su organización y en su nombre. Esta política está asociada a un rol vinculado a un servicio. Esto permite a dicho servicio realizar acciones por usted. No puede adjuntar esta política a las identidades de IAM. Para obtener más información, consulte [Funciones vinculadas al servicio para AWS Security Hub CSPM](using-service-linked-roles.md). 

**Detalles de los permisos**  
 Esta política incluye los permisos siguientes: 
+  `cloudwatch`— Recupere datos de métricas para respaldar las capacidades de medición de los recursos del Security Hub. 
+  `config`— Gestione los grabadores de configuración vinculados a servicios para los recursos de Security Hub, incluida la compatibilidad con los grabadores Config globales. 
+  `ecr`— Recupere información sobre las imágenes y los repositorios de Amazon Elastic Container Registry para respaldar las capacidades de medición. 
+  `iam`— Cree el rol vinculado al servicio AWS Config y recupere la información de la cuenta para respaldar las capacidades de medición. 
+  `lambda`— Recupere la información de las AWS Lambda funciones para respaldar las capacidades de medición. 
+  `organizations`: recuperar información de cuentas y unidades organizativas (OU) de una organización. 
+  `securityhub`: administrar la configuración de Security Hub. 
+  `tag`: recuperar información sobre las etiquetas de recursos. 

Para revisar los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.

## Security Hub actualiza las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>

La siguiente tabla proporciona detalles sobre las actualizaciones de las políticas AWS administradas para AWS Security Hub y Security Hub CSPM desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre actualizaciones en las políticas, suscríbase al canal RSS en la página del [Historial de documentos de Security Hub](doc-history.md).








| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): política actualizada   |  Security Hub actualizó la política para añadir permisos que describan las políticas de recursos que admitan las funciones de Security Hub. Security Hub se encuentra en versión preliminar y está sujeto a cambios.   | 12 de noviembre de 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): política actualizada   |  Security Hub actualizó la política para añadir funciones relacionadas con la administración GuardDuty, Amazon Inspector y la administración de cuentas para admitir las funciones de Security Hub. Security Hub se encuentra en versión preliminar y está sujeto a cambios.   | 17 de noviembre de 2025 | 
|   [AWSSecurityHUBv2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy): política actualizada   |  Security Hub actualizó la política para añadir capacidades de medición para Amazon Elastic Container Registry (Amazon CloudWatch) y AWS Identity and Access Management para admitir las funciones de Security Hub. AWS Lambda La actualización también agregó soporte para AWS Config grabadores globales. Security Hub se encuentra en versión preliminar y está sujeto a cambios.   | 5 de noviembre de 2025 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): actualización de una política actual  | Security Hub agregó nuevos permisos a la política. Estos permisos permiten que la administración de la organización habilite y administre Security Hub y el CSPM de Security Hub para una organización.  | 17 de junio de 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): actualización de una política actual  |  El CSPM de Security Hub agregó nuevos permisos que permiten a las entidades principales crear un rol vinculado al servicio para Security Hub.  | 17 de junio de 2025 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Actualización de una política existente  | Security Hub CSPM actualizó la política para obtener información detallada sobre los precios Servicios de AWS y los productos.  | 24 de abril de 2024 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Actualización de una política existente  | El CSPM de Security Hub actualizó esta política administrada mediante la adición de un campo Sid.  | 22 de febrero de 2024 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Actualización a una política existente  | Security Hub CSPM actualizó la política para poder determinar si Amazon GuardDuty y Amazon Inspector están habilitados en una cuenta. Esto ayuda a los clientes a reunir información relacionada con la seguridad de múltiples fuentes. Servicios de AWS | 16 de noviembre de 2023 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Actualización a una política existente  | El CSPM de Security Hub ha actualizado la política para conceder permisos adicionales a fin de permitir acceso de solo lectura a las funcionalidades de administrador delegado de AWS Organizations . Esto incluye detalles como la raíz, las unidades organizativas (OUs), las cuentas, la estructura organizativa y el acceso a los servicios.  | 16 de noviembre de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El CSPM de Security Hub ha agregado los permisos BatchGetSecurityControls, DisassociateFromAdministratorAccount y UpdateSecurityControl para leer y actualizar las propiedades de control de seguridad personalizables.  | 26 de noviembre de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El CSPM de Security Hub agregó el permiso tag:GetResources para leer las etiquetas de recursos relacionadas con los resultados.  | 7 de noviembre de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El CSPM de Security Hub agregó el permiso BatchGetStandardsControlAssociations para obtener información sobre el estado de habilitación de un control en un estándar.  | 27 de septiembre de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El Security Hub CSPM agregó nuevos permisos para obtener AWS Organizations datos y leer y actualizar las configuraciones del Security Hub CSPM, incluidos los estándares y los controles.  | 20 de septiembre de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El CSPM de Security Hub trasladó el permiso config:DescribeConfigRuleEvaluationStatus existente a una instrucción diferente en la política. El permiso config:DescribeConfigRuleEvaluationStatus se aplica ahora a todos los recursos.  | 17 de marzo de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  |  El CSPM de Security Hub trasladó el permiso config:PutEvaluations existente a una instrucción diferente en la política. El permiso config:PutEvaluations se aplica ahora a todos los recursos.  | 14 de julio de 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy): actualización de una política actual  | El CSPM de Security Hub agregó un nuevo permiso para permitir que el rol vinculado a un servicio entregue resultados de evaluación a AWS Config.  | 29 de junio de 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Se agregó a la lista de políticas administradas  | Se agregó información sobre la política administrada AWSSecurityHubServiceRolePolicy, que utiliza el rol vinculado al servicio CSPM de Security Hub.  | 11 de junio de 2021 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nueva política  | El CSPM de Security Hub agregó una nueva política que otorga los permisos necesarios para la integración del CSPM de Security Hub con Organizations.  | 15 de marzo de 2021 | 
| El CSPM de Security Hub comenzó a hacer un seguimiento de los cambios  | Security Hub CSPM comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.  | 15 de marzo de 2021 | 

# Solución de problemas de AWS Security Hub CSPM identidad y acceso
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información para ayudarle a diagnosticar y solucionar problemas comunes que pueden surgir al trabajar con AWS Security Hub CSPM un IAM.

**Topics**
+ [No estoy autorizado a realizar ninguna acción en Security Hub (CSPM)](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero acceso programático a Security Hub (CSPM)](#security_iam_troubleshoot-access-keys)
+ [Soy administrador y quiero permitir que otras personas accedan a Security Hub (CSPM)](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a los recursos de mi Security Hub (CSPM)](#security_iam_troubleshoot-cross-account-access)

## No estoy autorizado a realizar ninguna acción en Security Hub (CSPM)
<a name="security_iam_troubleshoot-no-permissions"></a>

Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

El siguiente ejemplo de error se produce cuando el usuario `mateojackson` intenta usar la consola para ver los detalles de una*widget*, pero no tiene `securityhub:GetWidget` permisos.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `securityhub:GetWidget`.

## No estoy autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, se deben actualizar las políticas a fin de permitirle pasar un rol a Security Hub.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Security Hub. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero acceso programático a Security Hub (CSPM)
<a name="security_iam_troubleshoot-access-keys"></a>

Los usuarios necesitan acceso programático si quieren interactuar con AWS personas ajenas a. Consola de administración de AWS La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.


****  

| ¿Qué usuario necesita acceso programático? | Para | Mediante | 
| --- | --- | --- | 
| IAM | (Recomendado) Utilice las credenciales de la consola como credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs |  Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  Identidad del personal (Usuarios administrados en el IAM Identity Center)  | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs. |  Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de [Uso de credenciales temporales con AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) de la Guía del usuario de IAM. | 
| IAM | (No recomendado)Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o. AWS APIs |  Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## Soy administrador y quiero permitir que otras personas accedan a Security Hub (CSPM)
<a name="security_iam_troubleshoot-admin-delegate"></a>

Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center

  Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
  + Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
  + (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a los recursos de mi Security Hub (CSPM)
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.

Para obtener más información, consulte lo siguiente:
+ Para obtener información sobre la compatibilidad de Security Hub con estas características, consulte [Cómo funciona Security Hub con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Validación de conformidad para AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .

Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).

# Resiliencia en AWS Security Hub
<a name="disaster-recovery-resiliency"></a>

La infraestructura AWS global se basa Regiones de AWS en zonas de disponibilidad y zonas de disponibilidad. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja demora. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.

Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Seguridad de la infraestructura en AWS Security Hub CSPM
<a name="infrastructure-security"></a>

Como servicio gestionado, AWS Security Hub CSPM está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.

Las llamadas a la API AWS publicadas se utilizan para acceder a Security Hub CSPM a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

# AWS Security Hub CSPM y puntos finales de VPC de interfaz ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Puede establecer una conexión privada entre su VPC y crear un punto final AWS Security Hub CSPM de *VPC* de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada al Security Hub CSPM APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión Direct AWS Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con el CSPM de Security Hub. APIs El tráfico entre la VPC y el Security Hub CSPM no sale de la red de Amazon. 

Cada punto de conexión de la interfaz está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en las subredes. Para obtener más información, consulte [Acceso y Servicio de AWS uso de un punto final de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la Guía *Amazon Virtual Private Cloud*. 

## Consideraciones sobre los puntos finales de VPC CSPM de Security Hub
<a name="vpc-endpoint-considerations"></a>

Antes de configurar un punto final de interfaz de VPC para Security Hub CSPM, asegúrese de revisar los requisitos previos y demás información de la Guía de [Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Virtual Private Cloud. 

Security Hub CSPM permite realizar llamadas a todas sus acciones de API desde su VPC. 

## Creación de un punto final de VPC de interfaz para Security Hub CSPM
<a name="vpc-endpoint-create"></a>

Puede crear un punto de conexión de VPC para el servicio CSPM de Security Hub mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [Cómo crear un punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) en la *Guía de Amazon Virtual Private Cloud*.

Cree un punto final de VPC para el CSPM de Security Hub con el siguiente nombre de servicio:

`com.amazonaws.region.securityhub` 

¿Dónde *region* está el código de región del correspondiente? Región de AWS

Si habilita el DNS privado para el punto final, puede realizar solicitudes de API al Security Hub CSPM utilizando su nombre de DNS predeterminado para la región, por ejemplo, `securityhub.us-east-1.amazonaws.com` para la región EE.UU. Este (Virginia del Norte). 

## Creación de una política de puntos finales de VPC para Security Hub CSPM
<a name="vpc-endpoint-policy"></a>

Puedes adjuntar una política de punto final a tu punto final de VPC que controle el acceso al CSPM de Security Hub. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte [Control del acceso a puntos de conexión de VPC mediante políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía de Amazon Virtual Private Cloud*. 

**Ejemplo: política de puntos finales de VPC para acciones de CSPM de Security Hub**  
El siguiente es un ejemplo de una política de punto final para Security Hub CSPM. Cuando se conecta a un punto final, esta política otorga acceso a las acciones CSPM de Security Hub enumeradas a todos los principales de todos los recursos.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## Subredes compartidas
<a name="sh-vpc-endpoint-shared-subnets"></a>

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte [Uso compartido de las subredes de la VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía de Amazon Virtual Private Cloud*.

# Registrar llamadas a la API de Security Hub con CloudTrail
<a name="securityhub-ct"></a>

AWS El CSPM de Security Hub está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en el Security Hub CSPM. CloudTrail captura las llamadas a la API para Security Hub CSPM como eventos. Las llamadas capturadas incluyen llamadas desde la consola del CSPM de Security Hub y llamadas de código a las operaciones de la API del CSPM de Security Hub. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para Security Hub CSPM. **Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos.** Con la información que CloudTrail recopila, puede determinar la solicitud que se realizó a Security Hub CSPM, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales. 

Para obtener más información CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la Guía del [AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## Información sobre CSPM de Security Hub en CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. **Cuando se produce una actividad de eventos admitida en Security Hub CSPM, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos.** Se puede ver, buscar y descargar los últimos eventos de la cuenta de . Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Para mantener un registro continuo de los eventos de la cuenta, incluidos los eventos del CSPM de Security Hub, cree un registro de seguimiento. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones de AWS . La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas: 
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

El CSPM de Security Hub admite el registro de todas las acciones de la API CSPM de Security Hub como eventos en los registros. CloudTrail Para ver una lista de las operaciones del CSPM de Security Hub, consulte la [Referencia de la API del CSPM de Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Cuando se registra la actividad de las siguientes acciones CloudTrail, el valor de se establece en. `responseElements` `null` Esto garantiza que la información confidencial no se incluya en CloudTrail los registros.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente: 
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM)
+ si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado
+ Si la solicitud la realizó otro servicio AWS 

Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Ejemplo: entradas de archivos de registro del CSPM de Security Hub
<a name="understanding-service-name-entries"></a>

Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la `CreateInsight` acción. En este ejemplo, se crea una información llamada `Test Insight`. Se especifica el atributo `ResourceId` como el agregador **Agrupar por** y no se especifican filtros opcionales para esta información. Para obtener más información acerca de las informaciones, consulte [Visualización de productos de información en el CSPM de Security Hub](securityhub-insights.md).

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```