Bonnes pratiques de fonctionnement pour NIST CSF

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre le NIST Cyber Security Framework (CSF) et les règles de AWS configuration gérées. Chaque AWS Config règle s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles NIST CSF. Un contrôle NIST CSF peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle	Description du contrôle	AWS Règle de configuration	Conseils
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	elasticsearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	no-unrestricted-route-to-igw	Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	opensearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	restricted-ssh	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	restricted-common-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
DE.AE-1	Une référence des opérations réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée	vpc-sg-open-only-to-authorized-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
DE.AE-2	Les événements détectés sont analysés pour comprendre les cibles et les méthodes d'attaque	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
DE.AE-2	Les événements détectés sont analysés pour comprendre les cibles et les méthodes d'attaque	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	elasticsearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	opensearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.AE-3	Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
DE.AE-4	L'impact des événements est déterminé	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.AE-4	L'impact des événements est déterminé	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.AE-4	L'impact des événements est déterminé	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
DE.AE-4	L'impact des événements est déterminé	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.AE-4	L'impact des événements est déterminé	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
DE.AE-4	L'impact des événements est déterminé	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.AE-4	L'impact des événements est déterminé	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.AE-4	L'impact des événements est déterminé	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	s3-event-notifications-enabled	Les notifications d'événements Amazon S3 peuvent alerter le personnel concerné de toute modification accidentelle ou intentionnelle des objets de votre compartiment. Voici quelques exemples d'alertes : création d'un nouvel objet, suppression d'un objet, restauration d'un objet, objets perdus ou répliqués.
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-1	Le réseau est surveillé afin de détecter d'éventuels événements liés à la cybersécurité	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.CM-3	L'activité du personnel est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-4	Du code malveillant est détecté	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
DE.CM-4	Du code malveillant est détecté	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-5	Du code mobile non autorisé est détecté	alb-waf-enabled	Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
DE.CM-5	Du code mobile non autorisé est détecté	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
DE.CM-5	Du code mobile non autorisé est détecté	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-5	Du code mobile non autorisé est détecté	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
DE.CM-5	Du code mobile non autorisé est détecté	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-5	Du code mobile non autorisé est détecté	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.CM-6	L'activité des fournisseurs de services externes est surveillée afin de détecter d'éventuels événements liés à la cybersécurité	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.CM-7	La surveillance du personnel, des connexions, des appareils et des logiciels non autorisés est assurée	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	alb-waf-enabled	Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	s3-event-notifications-enabled	Les notifications d'événements Amazon S3 peuvent alerter le personnel concerné de toute modification accidentelle ou intentionnelle des objets de votre compartiment. Voici quelques exemples d'alertes : création d'un nouvel objet, suppression d'un objet, restauration d'un objet, objets perdus ou répliqués.
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
DE.DP-4	Les informations relatives à la détection des événements sont communiquées	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
DE.DP-5	Les processus de détection sont continuellement améliorés	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.AM-2	Les plateformes logicielles et les applications au sein de l'organisation sont inventoriées	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
ID.AM-2	Les plateformes logicielles et les applications au sein de l'organisation sont inventoriées	ec2-managedinstance-association-compliance-status-check	Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
ID.AM-2	Les plateformes logicielles et les applications au sein de l'organisation sont inventoriées	ec2-stopped-instance	Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation.
ID.AM-2	Les plateformes logicielles et les applications au sein de l'organisation sont inventoriées	eip-attached	Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
ID.AM-2	Les plateformes logicielles et les applications au sein de l'organisation sont inventoriées	vpc-network-acl-unused-check	Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
ID.AM-3	La communication organisationnelle et les flux de données sont mappés	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	rds-multi-az-support	La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
ID.BE-5	Les exigences de résilience pour soutenir la prestation de services essentiels sont établies pour tous les états d'exploitation (par exemple en cas de contrainte ou d'attaque, pendant le rétablissement, pendant les opérations normales)	vpc-vpn-2-tunnels-up	Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
ID.RA-1	Les vulnérabilités des ressources sont identifiées et documentées	rds-automatic-minor-version-upgrade-enabled	Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues.
ID.RA-1	Les vulnérabilités des ressources sont identifiées et documentées	ec2-managedinstance-patch-compliance-status-check	Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
ID.RA-1	Les vulnérabilités des ressources sont identifiées et documentées	elastic-beanstalk-managed-updates-enabled	L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs.
ID.RA-1	Les vulnérabilités des ressources sont identifiées et documentées	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.RA-2	Les renseignements sur les cybermenaces proviennent de forums et de sources de partage d'informations	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.RA-3	Les menaces, internes et externes, sont identifiées et documentées	ec2-managedinstance-patch-compliance-status-check	Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
ID.RA-3	Les menaces, internes et externes, sont identifiées et documentées	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.RA-5	Threats, vulnerabilities, likelihoods, and impacts are used to determine risk	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
ID.RA-5	Threats, vulnerabilities, likelihoods, and impacts are used to determine risk	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.RA-5	Threats, vulnerabilities, likelihoods, and impacts are used to determine risk	rds-enhanced-monitoring-enabled	Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
ID.RA-5	Threats, vulnerabilities, likelihoods, and impacts are used to determine risk	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
ID.SC-4	Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluation afin de vérifier qu'ils respectent leurs obligations contractuelles.	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
ID.SC-4	Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluation afin de vérifier qu'ils respectent leurs obligations contractuelles.	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
ID.SC-4	Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluation afin de vérifier qu'ils respectent leurs obligations contractuelles.	rds-enhanced-monitoring-enabled	Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
ID.SC-4	Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluation afin de vérifier qu'ils respectent leurs obligations contractuelles.	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	ec2-instance-profile-attached	Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	ecs-task-definition-user-for-host-mode-check	Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-no-inline-policy-check	Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-policy-no-statements-with-full-access	Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	access-keys-rotated	Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	emr-kerberos-enabled	Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-group-has-users-check	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-root-access-key-check	L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-user-mfa-enabled	Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-user-no-policies-check	Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	secretsmanager-rotation-enabled-check	Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
PR.AC-1	Les identités et les informations d'identification sont émises, gérées, vérifiées, révoquées et auditées pour les appareils, les utilisateurs et les processus autorisés	iam-password-policy	Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-3	L'accès à distance est géré.	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.AC-3	L'accès à distance est géré.	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
PR.AC-3	L'accès à distance est géré.	no-unrestricted-route-to-igw	Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
PR.AC-3	L'accès à distance est géré.	redshift-enhanced-vpc-routing-enabled	Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
PR.AC-3	L'accès à distance est géré.	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.AC-3	L'accès à distance est géré.	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-3	L'accès à distance est géré.	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	restricted-ssh	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
PR.AC-3	L'accès à distance est géré.	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.AC-3	L'accès à distance est géré.	lambda-inside-vpc	Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
PR.AC-3	L'accès à distance est géré.	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-3	L'accès à distance est géré.	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-3	L'accès à distance est géré.	restricted-common-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-3	L'accès à distance est géré.	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-3	L'accès à distance est géré.	s3-bucket-level-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
PR.AC-3	L'accès à distance est géré.	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-3	L'accès à distance est géré.	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-3	L'accès à distance est géré.	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.AC-3	L'accès à distance est géré.	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.AC-3	L'accès à distance est géré.	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
PR.AC-3	L'accès à distance est géré.	vpc-sg-open-only-to-authorized-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ec2-imdsv2-check	Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ec2-instance-profile-attached	Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ecs-task-definition-user-for-host-mode-check	Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-no-inline-policy-check	Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-policy-no-statements-with-full-access	Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	emr-kerberos-enabled	Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-group-has-users-check	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-root-access-key-check	L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-user-no-policies-check	Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	lambda-inside-vpc	Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	s3-bucket-level-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.AC-4	Les autorisations d'accès sont gérées et intègrent les principes du moindre privilège et de la séparation des tâches	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	no-unrestricted-route-to-igw	Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	redshift-enhanced-vpc-routing-enabled	Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	acm-certificate-expiration-check	Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	restricted-ssh	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	lambda-inside-vpc	Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	restricted-common-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
PR.AC-5	L'intégrité du réseau est protégée (par exemple, ségrégation du réseau, segmentation du réseau)	vpc-sg-open-only-to-authorized-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
PR.AC-6	Les identités sont prouvées, liées à des informations d'identification et affirmées dans des interactions	emr-kerberos-enabled	Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
PR.AC-6	Les identités sont prouvées, liées à des informations d'identification et affirmées dans des interactions	iam-password-policy	Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-7	Les utilisateurs, les appareils et les autres actifs sont authentifiés (par exemple, à facteur unique, à facteurs multiples) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des individus et autres risques organisationnels)	iam-password-policy	Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.AC-7	Les utilisateurs, les appareils et les autres actifs sont authentifiés (par exemple, à facteur unique, à facteurs multiples) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des individus et autres risques organisationnels)	iam-user-mfa-enabled	Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
PR.AC-7	Les utilisateurs, les appareils et les autres actifs sont authentifiés (par exemple, à facteur unique, à facteurs multiples) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des individus et autres risques organisationnels)	mfa-enabled-for-iam-console-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
PR.AC-7	Les utilisateurs, les appareils et les autres actifs sont authentifiés (par exemple, à facteur unique, à facteurs multiples) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des individus et autres risques organisationnels)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
PR.AC-7	Les utilisateurs, les appareils et les autres actifs sont authentifiés (par exemple, à facteur unique, à facteurs multiples) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des individus et autres risques organisationnels)	root-account-mfa-enabled	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
PR.AT-1	Tous les utilisateurs sont informés et formés	security-awareness-program-exists (vérification du processus)	Élaborez et maintenez un programme de sensibilisation à la sécurité pour votre organisation. Les programmes de sensibilisation à la sécurité visent à informer les employés sur la façon de protéger leur organisation contre divers incidents ou atteintes à la sécurité.
PR.DS-1	D ata-at-rest est protégé	ec2-ebs-encryption-by-default	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	rds-snapshot-encrypted	Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	s3-default-encryption-kms	Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	sagemaker-notebook-instance-kms-key-configured	Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	sns-encrypted-kms	Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	api-gw-cache-enabled-and-encrypted	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	cloud-trail-encryption-enabled	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
PR.DS-1	D ata-at-rest est protégé	efs-encrypted-check	Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
PR.DS-1	D ata-at-rest est protégé	elasticsearch-encrypted-at-rest	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
PR.DS-1	D ata-at-rest est protégé	encrypted-volumes	Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
PR.DS-1	D ata-at-rest est protégé	kms-cmk-not-scheduled-for-deletion	Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
PR.DS-1	D ata-at-rest est protégé	opensearch-encrypted-at-rest	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
PR.DS-1	D ata-at-rest est protégé	rds-storage-encrypted	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.DS-1	D ata-at-rest est protégé	redshift-cluster-kms-enabled	Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	s3-bucket-server-side-encryption-enabled	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	sagemaker-endpoint-configuration-kms-key-configured	Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
PR.DS-1	D ata-at-rest est protégé	secretsmanager-using-cmk	Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	elasticsearch-node-to-node-encryption-check	Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	elbv2-acm-certificate-required	Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
PR.DS-2	D ata-in-transit est protégé	elb-tls-https-listeners-only	Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	opensearch-node-to-node-encryption-check	Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	alb-http-to-https-redirection-check	Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	api-gw-ssl-enabled	Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
PR.DS-2	D ata-in-transit est protégé	elb-acm-certificate-required	Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
PR.DS-2	D ata-in-transit est protégé	redshift-require-tls-ssl	Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-2	D ata-in-transit est protégé	s3-bucket-ssl-requests-only	Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
PR.DS-3	Les ressources sont officiellement gérées tout au long de la suppression, du transfert et de la disposition	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PR.DS-3	Les ressources sont officiellement gérées tout au long de la suppression, du transfert et de la disposition	ec2-managedinstance-association-compliance-status-check	Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
PR.DS-3	Les ressources sont officiellement gérées tout au long de la suppression, du transfert et de la disposition	eip-attached	Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	rds-multi-az-support	La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	redshift-cluster-maintenancesettings-check	Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
PR.DS-4	Capacité adéquate pour garantir le maintien de la disponibilité	vpc-vpn-2-tunnels-up	Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	codebuild-project-envvar-awscred-check	Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	codebuild-project-source-repo-url-check	Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.DS-5	Des protections contre les fuites de données sont mises en œuvre	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
PR.DS-6	Les mécanismes de contrôle d'intégrité sont utilisés pour vérifier l'intégrité des logiciels, des microprogrammes et des informations	cloud-trail-log-file-validation-enabled	Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
PR.DS-6	Les mécanismes de contrôle d'intégrité sont utilisés pour vérifier l'intégrité des logiciels, des microprogrammes et des informations	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	ec2-managedinstance-association-compliance-status-check	Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	ec2-stopped-instance	Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	ec2-volume-inuse-check	Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.DS-7	Le ou les environnements de développement et de test sont distincts de l'environnement de production	restricted-common-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	account-part-of-organizations	La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	ec2-managedinstance-association-compliance-status-check	Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	ec2-stopped-instance	Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	ec2-volume-inuse-check	Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
PR.IP-1	Une configuration de base des technologies de l'information et des systèmes de contrôle industriels est créée et maintenue en incorporant les principes de sécurité (par exemple le concept de moindre fonctionnalité)	redshift-cluster-maintenancesettings-check	Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.IP-2	Un cycle de vie de développement des systèmes est mis en œuvre pour gérer les systèmes	codebuild-project-envvar-awscred-check	Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé.
PR.IP-2	Un cycle de vie de développement des systèmes est mis en œuvre pour gérer les systèmes	codebuild-project-source-repo-url-check	Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket.
PR.IP-2	Un cycle de vie de développement des systèmes est mis en œuvre pour gérer les systèmes	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PR.IP-3	Des processus de contrôle des modifications de configuration sont en place	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.IP-3	Des processus de contrôle des modifications de configuration sont en place	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	redshift-cluster-maintenancesettings-check	Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
PR.IP-4	Les sauvegardes des informations sont effectuées, maintenues et testées	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
PR.IP-7	Les processus de protection sont améliorés	ebs-optimized-instance	Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance.
PR.IP-8	L'efficacité des technologies de protection est partagée	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.IP-8	L'efficacité des technologies de protection est partagée	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.IP-8	L'efficacité des technologies de protection est partagée	s3-bucket-level-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
PR.IP-8	L'efficacité des technologies de protection est partagée	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.IP-8	L'efficacité des technologies de protection est partagée	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.IP-8	L'efficacité des technologies de protection est partagée	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.IP-8	L'efficacité des technologies de protection est partagée	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.IP-12	Un plan de gestion des vulnérabilités est élaboré et mis en œuvre	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PR.IP-12	Un plan de gestion des vulnérabilités est élaboré et mis en œuvre	ec2-managedinstance-association-compliance-status-check	Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
PR.IP-12	Un plan de gestion des vulnérabilités est élaboré et mis en œuvre	ec2-managedinstance-patch-compliance-status-check	Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
PR.MA-2	La maintenance à distance des actifs de l'organisation est approuvée, consignée et effectuée de manière à empêcher tout accès non autorisé	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
PR.MA-2	La maintenance à distance des actifs de l'organisation est approuvée, consignée et effectuée de manière à empêcher tout accès non autorisé	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	elasticsearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	multi-region-cloudtrail-enabled	AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
PR.PT-1	Les réseaux de communication et de contrôle sont protégés	opensearch-logs-to-cloudwatch	Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	rds-enhanced-monitoring-enabled	Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	cloud-trail-cloud-watch-logs-enabled	Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	s3-bucket-logging-enabled	La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
PR.PT-1	Les enregistrements d'audit/de journal sont déterminés, documentés, mis en œuvre et examinés conformément à la politique	vpc-flow-logs-enabled	Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	ec2-instance-profile-attached	Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	redshift-enhanced-vpc-routing-enabled	Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	iam-root-access-key-check	L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	iam-user-no-policies-check	Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	lambda-inside-vpc	Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	s3-bucket-level-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.PT-3	Le principe de moindre fonctionnalité est intégré en configurant les systèmes de manière à ne fournir que les fonctionnalités essentielles	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	autoscaling-launch-config-public-ip-disabled	Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	no-unrestricted-route-to-igw	Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	ssm-document-not-public	Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	acm-certificate-expiration-check	Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	dms-replication-not-public	Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	ebs-snapshot-public-restorable-check	Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	ec2-instance-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	elasticsearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	emr-master-no-public-ip	Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	restricted-ssh	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	lambda-inside-vpc	Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	opensearch-in-vpc-only	Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	rds-instance-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	restricted-common-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	subnet-auto-assign-public-ip-disabled	Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
PR.PT-4	Les réseaux de communication et de contrôle sont protégés	vpc-sg-open-only-to-authorized-ports	Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	autoscaling-group-elb-healthcheck-required	La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	rds-multi-az-support	La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
PR.PT-5	Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables	vpc-vpn-2-tunnels-up	Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	rds-multi-az-support	La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
RC.RP-1	Le plan de récupération est exécuté pendant ou après un incident de cybersécurité	vpc-vpn-2-tunnels-up	Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
RS.AN-2	L'impact de l'incident est compris	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
RS.MI-3	Les vulnérabilités nouvellement identifiées sont atténuées ou documentées en tant que risques acceptés	guardduty-non-archived-findings	Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	aurora-resources-protected-by-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	backup-plan-min-frequency-and-min-retention-check	Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	backup-recovery-point-encrypted	Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	backup-recovery-point-manual-deletion-disabled	Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	dynamodb-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	ebs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	ec2-resources-protected-by-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	efs-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	elb-deletion-protection-enabled	Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	rds-in-backup-plan	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	rds-multi-az-support	La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	s3-bucket-replication-enabled	La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	s3-bucket-versioning-enabled	La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
RS.RP-1	Le plan de réponse est exécuté pendant ou après un incident	vpc-vpn-2-tunnels-up	Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for NIST CSF.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques de fonctionnement pour NIST 1800 25

Bonnes pratiques de fonctionnement pour le cadre de confidentialité NIST v1.0