Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Meilleures pratiques opérationnelles pour la PCI DSS version 4.0 (y compris les types de ressources mondiaux)
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS) 4.0 (à l'exclusion des types de ressources globaux) et les règles de configuration AWS gérées. Chaque AWS Config règle s'applique à une AWS ressource spécifique et concerne un ou plusieurs PCI DSS contrôles. Un PCI DSS contrôle peut être associé à plusieurs règles de Config. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon utilisent une politique de sécurité minimale et une suite de chiffrement de TLSv1 0,2 ou plus pour les connexions avec les utilisateurs. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si la valeur minimumProtocolVersion est inférieure à TLSv1 .2_2018. | |
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon utilisent un SSL certificat personnalisé et qu'elles sont configurées pour répondre SNI aux HTTPS demandes. La règle est NON _ COMPLIANT si un SSL certificat personnalisé est associé mais que la méthode de SSL support est une adresse IP dédiée. | |
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'un serveur créé avec AWS Transfer Family n'est pas utilisé FTP pour la connexion aux terminaux. La règle est NON _ COMPLIANT si le protocole du serveur pour la connexion au point de FTP terminaison est activé. | |
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 1.2.5 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 1.2.8 | Les contrôles de sécurité réseau (NSCs) sont configurés et gérés. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que « enhancedVpcRouting » est activé sur les clusters Amazon Redshift. La règle est NON _ COMPLIANT si « enhancedVpcRouting » n'est pas activé ou si la configuration est désactivée. enhancedVpcRouting le champ est « faux ». | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 1.3.1 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que « enhancedVpcRouting » est activé sur les clusters Amazon Redshift. La règle est NON _ COMPLIANT si « enhancedVpcRouting » n'est pas activé ou si la configuration est désactivée. enhancedVpcRouting le champ est « faux ». | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 1.3.2 | L'accès au réseau depuis et vers l'environnement de données du titulaire de la carte est restreint. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 1.4.1 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.4.1 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que « enhancedVpcRouting » est activé sur les clusters Amazon Redshift. La règle est NON _ COMPLIANT si « enhancedVpcRouting » n'est pas activé ou si la configuration est désactivée. enhancedVpcRouting le champ est « faux ». | |
| 1.4.1 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que « enhancedVpcRouting » est activé sur les clusters Amazon Redshift. La règle est NON _ COMPLIANT si « enhancedVpcRouting » n'est pas activé ou si la configuration est désactivée. enhancedVpcRouting le champ est « faux ». | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 1.4.2 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 1.4.3 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.4.3 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.4.3 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action apatride par défaut définie par l'utilisateur pour les paquets complets. Cette règle est NON _ COMPLIANT si l'action apatride par défaut pour les paquets complets ne correspond pas à l'action apatride par défaut définie par l'utilisateur. | |
| 1.4.4 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.4.4 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que « enhancedVpcRouting » est activé sur les clusters Amazon Redshift. La règle est NON _ COMPLIANT si « enhancedVpcRouting » n'est pas activé ou si la configuration est désactivée. enhancedVpcRouting le champ est « faux ». | |
| 1.4.4 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.4.5 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous qu'ECSTaskDefinitionsils sont configurés pour partager l'espace de noms de processus d'un hôte avec ses conteneurs Amazon Elastic Container Service (AmazonECS). La règle est NON _ COMPLIANT si le pidMode paramètre est défini sur « hôte ». | |
| 1.4.5 | Les connexions réseau entre les réseaux fiables et non fiables sont contrôlées. (PCI- DSS -v4.0) | Assurez-vous que les modèles Amazon EC2 Launch ne sont pas configurés pour attribuer des adresses IP publiques aux interfaces réseau. La règle est NON _ COMPLIANT si la version par défaut d'un modèle de EC2 lancement possède au moins une interface réseau avec « AssociatePublicIpAddress » défini sur « vrai ». | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 1.5.1 | Les risques liés aux appareils informatiques capables CDE de se connecter à la fois à des réseaux non fiables CDE sont atténués. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.1 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.3 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.4 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.5 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.6 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.1.7 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.2.2 | Des journaux d'audit sont mis en œuvre pour faciliter la détection des anomalies et des activités suspectes, ainsi que l'analyse médico-légale des événements. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.3.1 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'un instantané manuel du cluster de base de données Amazon Neptune n'est pas public. La règle est NON _ COMPLIANT si un instantané du cluster Neptune existant ou nouveau est public. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 10.3.2 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les clusters de base de données Amazon Aurora sont protégés par un plan de sauvegarde. La règle est NON _ COMPLIANT si le cluster de base de données Amazon Relational Database Service (RDSAmazon) n'est pas protégé par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les sauvegardes sont activées sur les RDS instances de base de données. Le cas échéant, la règle vérifie la période de conservation des sauvegardes et la fenêtre de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les tables Amazon DynamoDB sont présentes dans AWS les plans de sauvegarde. La règle est NON _ COMPLIANT si les tables Amazon DynamoDB ne sont présentes dans aucun AWS plan Backup. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les tables Amazon DynamoDB sont protégées par un plan de sauvegarde. La règle est NON _ COMPLIANT si la table DynamoDB n'est pas couverte par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les volumes Amazon Elastic Block Store (AmazonEBS) sont ajoutés dans les plans de sauvegarde de AWS Backup. La règle est NON _ COMPLIANT si les EBS volumes Amazon ne sont pas inclus dans les plans de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les volumes Amazon Elastic Block Store (AmazonEBS) sont protégés par un plan de sauvegarde. La règle est NON _ COMPLIANT si le EBS volume Amazon n'est pas couvert par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (AmazonEC2) sont protégées par un plan de sauvegarde. La règle est NON _ COMPLIANT si l'EC2instance Amazon n'est pas couverte par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les systèmes de fichiers Amazon Elastic File System (AmazonEFS) sont ajoutés aux plans de sauvegarde de AWS Backup. La règle est NON _ COMPLIANT si les systèmes de EFS fichiers ne sont pas inclus dans les plans de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les systèmes de fichiers Amazon Elastic File System (AmazonEFS) sont protégés par un plan de sauvegarde. La règle est NON _ COMPLIANT si le système de EFS fichiers n'est pas couvert par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Vérifiez si la sauvegarde automatique ElastiCache est activée sur les clusters Amazon Redis. La règle est NON _ COMPLIANT si le cluster SnapshotRetentionLimit for Redis est inférieur au SnapshotRetentionPeriod paramètre. Par exemple : si le paramètre est 15, la règle n'est pas conforme si elle snapshotRetentionPeriod est comprise entre 0 et 15. |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les systèmes de FSx fichiers Amazon sont protégés par un plan de sauvegarde. La règle est NON _ COMPLIANT si le système de FSx fichiers Amazon n'est pas couvert par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la période de rétention d'un cluster de base de données Amazon Neptune est définie sur un nombre de jours spécifique. La règle est NON _ COMPLIANT si la période de rétention est inférieure à la valeur spécifiée par le paramètre. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les bases de données Amazon Relational Database Service (RDSAmazon) sont présentes dans les plans AWS de sauvegarde. La règle est NON _ COMPLIANT si les RDS bases de données Amazon ne sont incluses dans aucun plan AWS de Backup. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Relational Database Service (RDSAmazon) sont protégées par un plan de sauvegarde. La règle est NON _ COMPLIANT si l'instance Amazon RDS Database n'est pas couverte par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les instantanés automatisés Amazon Redshift sont activés pour les clusters. La règle est NON _ COMPLIANT si la valeur de automatedSnapshotRetention Period est supérieure MaxRetentionPeriod MinRetentionPeriod ou inférieure à 0. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les compartiments Amazon Simple Storage Service (Amazon S3) sont protégés par un plan de sauvegarde. La règle est NON _ COMPLIANT si le compartiment Amazon S3 n'est pas couvert par un plan de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que les sauvegardes sont activées sur les RDS instances de base de données. Le cas échéant, la règle vérifie la période de conservation des sauvegardes et la fenêtre de sauvegarde. | |
| 10.3.3 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 10.3.4 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que l'identité d'accès à l'origine (OAI) est configurée pour la CloudFront distribution avec le type Amazon S3 Origin. La règle est NON _ COMPLIANT si la CloudFront distribution est soutenue par S3 et qu'aucun type d'origine n'est OAI configuré, ou si l'origine n'est pas un compartiment S3. | |
| 10.3.4 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que le contrôle d'accès à l'origine () est activé pour une CloudFront distribution Amazon dont le type d'origine est Amazon Simple Storage Service OAC (Amazon S3). La règle est NON _ COMPLIANT pour les CloudFront distributions dont l'origine est Amazon S3 et qui ne sont pas OAC activées. | |
| 10.3.4 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que le verrouillage du compartiment S3 est activé par défaut. La règle est NON _ COMPLIANT si le verrou n'est pas activé. | |
| 10.3.4 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous que la gestion des versions est activée pour vos compartiments S3. Facultativement, la règle vérifie si la MFA suppression est activée pour vos compartiments S3. | |
| 10.3.4 | Les journaux d'audit sont protégés contre la destruction et les modifications non autorisées. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.4.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.4.1.1 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.4.2 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.4.3 | Les journaux d'audit sont examinés pour identifier les anomalies ou les activités suspectes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.5.1 | L'historique du journal d'audit est conservé et disponible pour analyse. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| 10.5.1 | L'historique du journal d'audit est conservé et disponible pour analyse. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 10.5.1 | L'historique du journal d'audit est conservé et disponible pour analyse. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 10.5.1 | L'historique du journal d'audit est conservé et disponible pour analyse. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 10.5.1 | L'historique du journal d'audit est conservé et disponible pour analyse. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 10.6.3 | Les mécanismes de synchronisation temporelle prennent en charge des paramètres horaires cohérents sur tous les systèmes. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.7.1 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| 10.7.2 | Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 11.5.2 | Les intrusions sur le réseau et les modifications inattendues des fichiers sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| 11.5.2 | Les intrusions sur le réseau et les modifications inattendues des fichiers sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 11.5.2 | Les intrusions sur le réseau et les modifications inattendues des fichiers sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 11.5.2 | Les intrusions sur le réseau et les modifications inattendues des fichiers sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que les CloudWatch alarmes portant le nom de métrique donné possèdent les paramètres spécifiés. | |
| 11.5.2 | Les intrusions sur le réseau et les modifications inattendues des fichiers sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 11,6.1 | Les modifications non autorisées sur les pages de paiement sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| 11,6.1 | Les modifications non autorisées sur les pages de paiement sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 11,6.1 | Les modifications non autorisées sur les pages de paiement sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 11,6.1 | Les modifications non autorisées sur les pages de paiement sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que les CloudWatch alarmes portant le nom de métrique donné possèdent les paramètres spécifiés. | |
| 11,6.1 | Les modifications non autorisées sur les pages de paiement sont détectées et traitées. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 12,1,5 | Les incidents de sécurité suspectés et confirmés susceptibles d'avoir un impact CDE sont traités immédiatement. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| 12,1,5 | Les incidents de sécurité suspectés et confirmés susceptibles d'avoir un impact CDE sont traités immédiatement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 12,1,5 | Les incidents de sécurité suspectés et confirmés susceptibles d'avoir un impact CDE sont traités immédiatement. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| 12,1,5 | Les incidents de sécurité suspectés et confirmés susceptibles d'avoir un impact CDE sont traités immédiatement. (PCI- DSS -v4.0) | Assurez-vous que les CloudWatch alarmes portant le nom de métrique donné possèdent les paramètres spécifiés. | |
| 12,1,5 | Les incidents de sécurité suspectés et confirmés susceptibles d'avoir un impact CDE sont traités immédiatement. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| 12.4.2.1 | PCIDSSla conformité est gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS Service Catalog partage des portefeuilles avec une organisation (un ensemble de AWS comptes traités comme une seule unité) lorsque l'intégration avec AWS Organizations est activée. La règle est NON _ COMPLIANT si la valeur « Type » d'une action est ``. ACCOUNT | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon utilisent une politique de sécurité minimale et une suite de chiffrement de TLSv1 0,2 ou plus pour les connexions avec les utilisateurs. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si la valeur minimumProtocolVersion est inférieure à TLSv1 .2_2018. | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon utilisent un SSL certificat personnalisé et qu'elles sont configurées pour répondre SNI aux HTTPS demandes. La règle est NON _ COMPLIANT si un SSL certificat personnalisé est associé mais que la méthode de SSL support est une adresse IP dédiée. | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous qu'un serveur créé avec AWS Transfer Family n'est pas utilisé FTP pour la connexion aux terminaux. La règle est NON _ COMPLIANT si le protocole du serveur pour la connexion au point de FTP terminaison est activé. | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 2.2.5 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) pour les magasins de données Redis sont activés pour le SSL chiffrement TLS des données communiquées avec d'autres points de terminaison. La règle est NON _ COMPLIANT si le SSL chiffrementTLS/n'est pas activé. | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que votre cluster ClusterEndpointEncryptionType Amazon DynamoDB Accelerator DAX () est défini sur. TLS La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré par transport layer security (TLS). | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous qu'un MSK cluster Amazon applique le chiffrement en transit en utilisant HTTPS (TLS) avec les nœuds courtiers du cluster. La règle est NON _ COMPLIANT si la communication en texte brut est activée pour les connexions entre nœuds de courtage au sein du cluster. | |
| 2.2.7 | Les composants du système sont configurés et gérés de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) sont configurés avec une SSL connexion. La règle est NON _ COMPLIANT si AWS DMS aucune SSL connexion n'est configurée. | |
| 3.2.1 | Le stockage des données du compte est réduit au minimum. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 3.2.1 | Le stockage des données du compte est réduit au minimum. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 3.2.1 | Le stockage des données du compte est réduit au minimum. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 3.2.1 | Le stockage des données du compte est réduit au minimum. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 3.3.1.1 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 3.3.1.1 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 3.3.1.1 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 3.3.1.1 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 3.3.1.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 3.3.1.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 3.3.1.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 3.3.1.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 3.3.2 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 3.3.2 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 3.3.2 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 3.3.2 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 3.3.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que les EBS volumes sont attachés aux EC2 instances. Assurez-vous éventuellement que les EBS volumes sont marqués pour suppression lorsqu'une instance est résiliée. | |
| 3.3.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une politique de cycle de vie est configurée dans un référentiel privé Amazon Elastic Container Registry (ECR). La règle est NON _ COMPLIANT si aucune politique de cycle de vie n'est configurée pour le référentiel ECR privé. | |
| 3.3.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que point-in-time recovery (PITR) est activé pour les tables Amazon DynamoDB. La règle est NON _ COMPLIANT si elle n'PITRest pas activée pour les tables DynamoDB. | |
| 3.3.3 | Les données d'authentification sensibles (SAD) ne sont pas stockées après autorisation. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de travail Amazon Athena est chiffré au repos. La règle est NON _ COMPLIANT si le chiffrement des données au repos n'est pas activé pour un groupe de travail Athena. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les instantanés d'un cluster de base de données Amazon Neptune sont chiffrés. La règle est NON _ COMPLIANT si les instantanés d'un cluster Neptune ne sont pas chiffrés. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon Redshift utilisent une clé de service de gestion des AWS clés (AWS KMS) spécifiée pour le chiffrement. La règle est que COMPLIANT le chiffrement est activé et que le cluster est chiffré avec la clé fournie dans le kmsKeyArn paramètre. La règle est NON _ COMPLIANT si le cluster n'est pas chiffré ou chiffré avec une autre clé. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement est activé pour tous les artefacts d'un AWS CodeBuild projet. La règle est NON _ COMPLIANT si « encryptionDisabled » est défini sur « vrai » pour toute configuration d'artefact principale ou secondaire (le cas échéant). | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement des journaux d'un AWS CodeBuild projet configuré avec Amazon S3 Logs est activé. La règle est NON _ COMPLIANT si « encryptionDisabled » est défini sur « vrai » dans le S3 LogsConfig d'un projet. CodeBuild | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon DynamoDB Accelerator DAX () sont chiffrés. La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon Elastic Kubernetes Service sont configurés pour que les secrets Kubernetes soient chiffrés à l'aide des clés Key Management Service (). AWS KMS | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le cache est activé et crypté pour toutes les méthodes utilisées dans les étapes d'Amazon API Gateway. La règle est NON _ COMPLIANT si l'une des méthodes d'une étape Amazon API Gateway n'est pas configurée pour le cache ou si le cache n'est pas crypté. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement du stockage est activé pour vos clusters Amazon DocumentDB (avec compatibilité MongoDB). La règle est NON _ COMPLIANT si le chiffrement du stockage n'est pas activé. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que la table Amazon DynamoDB est chiffrée AWS avec Key Management Service (). KMS La règle est NON _ COMPLIANT si la table Amazon DynamoDB n'est pas chiffrée avec. AWS KMS La règle est également NON _ COMPLIANT si la AWS KMS clé cryptée n'est pas présente dans le paramètre kmsKeyArns d'entrée. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les tables Amazon DynamoDB sont chiffrées et vérifiez leur statut. La règle est de COMPLIANT savoir si le statut est activé ou activant. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le projet DOES NOT contient les variables d'environnement AWS_ACCESS _ KEY _ID et AWS_SECRET _ ACCESS _KEY. La règle est NON _ COMPLIANT lorsque les variables d'environnement du projet contiennent des informations d'identification en texte brut. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les EKS clusters Amazon ne sont pas configurés pour que les secrets Kubernetes soient chiffrés à l'aide de. AWS KMS La règle est NON _ COMPLIANT si un EKS cluster ne possède pas de encryptionConfig ressource ou s'il encryptionConfig ne nomme pas les secrets en tant que ressource. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les flux Amazon Kinesis sont chiffrés au repos grâce au chiffrement côté serveur. La règle est NON _ COMPLIANT pour un flux Kinesis si « StreamEncryption » n'est pas présent. | |
| 3.5.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement du stockage est activé pour vos clusters de base de données Amazon Neptune. La règle est NON _ COMPLIANT si le chiffrement du stockage n'est pas activé. | |
| 3.5.1.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.5.1.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.5.1.1 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous qu'un instantané manuel du cluster de base de données Amazon Neptune n'est pas public. La règle est NON _ COMPLIANT si un instantané du cluster Neptune existant ou nouveau est public. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| 3.5.1.3 | Le numéro de compte principal (PAN) est sécurisé partout où il est enregistré. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| 3.6.1 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.6.1 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.6.1 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.6.1.2 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.6.1.2 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.6.1.2 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.6.1.3 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.6.1.3 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.6.1.3 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.6.1.4 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.6.1.4 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.6.1.4 | Les clés cryptographiques utilisées pour protéger les données de compte stockées sont sécurisées. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.7.1 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que RSA les certificats gérés par AWS Certificate Manager (ACM) ont une longueur de clé d'au moins « 2048 » bits. La règle est NON _ COMPLIANT si la longueur de clé minimale est inférieure à 2048 bits. | |
| 3.7.1 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.7.1 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.7.1 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.7.2 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.7.2 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.7.2 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.7.4 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.7.4 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.7.4 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.7.6 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.7.6 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.7.6 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 3.7.7 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 3.7.7 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 3.7.7 | Lorsque la cryptographie est utilisée pour protéger les données de compte stockées, des processus et des procédures de gestion des clés couvrant tous les aspects du cycle de vie des clés sont définis et mis en œuvre. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) pour les magasins de données Redis sont activés pour le SSL chiffrement TLS des données communiquées avec d'autres points de terminaison. La règle est NON _ COMPLIANT si le SSL chiffrementTLS/n'est pas activé. | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que votre cluster ClusterEndpointEncryptionType Amazon DynamoDB Accelerator DAX () est défini sur. TLS La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré par transport layer security (TLS). | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous qu'un MSK cluster Amazon applique le chiffrement en transit en utilisant HTTPS (TLS) avec les nœuds courtiers du cluster. La règle est NON _ COMPLIANT si la communication en texte brut est activée pour les connexions entre nœuds de courtage au sein du cluster. | |
| 4.2.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) sont configurés avec une SSL connexion. La règle est NON _ COMPLIANT si AWS DMS aucune SSL connexion n'est configurée. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que l'autorité de certification AWS AWS privée (autorité de certification privée) possède une autorité de certification racine désactivée. La règle est NON _ COMPLIANT pour un root CAs dont le statut ne l'est pasDISABLED. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) pour les magasins de données Redis sont activés pour le SSL chiffrement TLS des données communiquées avec d'autres points de terminaison. La règle est NON _ COMPLIANT si le SSL chiffrementTLS/n'est pas activé. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que votre cluster ClusterEndpointEncryptionType Amazon DynamoDB Accelerator DAX () est défini sur. TLS La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré par transport layer security (TLS). | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous qu'un MSK cluster Amazon applique le chiffrement en transit en utilisant HTTPS (TLS) avec les nœuds courtiers du cluster. La règle est NON _ COMPLIANT si la communication en texte brut est activée pour les connexions entre nœuds de courtage au sein du cluster. | |
| 4.2.1.1 | PANest protégé par une cryptographie puissante pendant la transmission. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) sont configurés avec une SSL connexion. La règle est NON _ COMPLIANT si AWS DMS aucune SSL connexion n'est configurée. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| 5.3.4 | Les mécanismes et processus de protection contre les programmes malveillants sont actifs, maintenus et surveillés. (PCI- DSS -v4.0) | Assurez-vous que la période de CloudWatch LogGroup rétention Amazon est définie sur une durée supérieure à 365 jours ou sur une période de rétention spécifiée. La règle est NON _ COMPLIANT si la période de conservation est inférieure MinRetentionTime, si elle est spécifiée, ou à 365 jours. | |
| 6.3.3 | Les failles de sécurité sont identifiées et corrigées. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de la fonction AWS Lambda relatifs à l'exécution, au rôle, au délai d'expiration et à la taille de la mémoire correspondent aux valeurs attendues. La règle ignore les fonctions dont le type de package est « Image » et les fonctions dont l'exécution est définie sur « Exécution uniquement pour le système d'exploitation ». La règle est NON _ COMPLIANT si les paramètres de la fonction Lambda ne correspondent pas aux valeurs attendues. | |
| 6.3.3 | Les failles de sécurité sont identifiées et corrigées. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service EKS () n'exécute pas la plus ancienne version prise en charge. La règle est NON _ COMPLIANT si un EKS cluster exécute la plus ancienne version prise en charge (égale au paramètre « oldestVersionSupported »). | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un WAFv2 site Web ACL contient des WAF règles ou des groupes de WAF règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de WAF règles. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous que les WAFv2 groupes de règles contiennent des règles. La règle est NON _ COMPLIANT s'il n'existe aucune WAFv2 règle dans un groupe de règles. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 6.4.1 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un WAFv2 site Web ACL contient des WAF règles ou des groupes de WAF règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de WAF règles. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous que les WAFv2 groupes de règles contiennent des règles. La règle est NON _ COMPLIANT s'il n'existe aucune WAFv2 règle dans un groupe de règles. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| 6.4.2 | Les applications Web destinées au public sont protégées contre les attaques. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| 6.5.5 | Les modifications apportées à tous les composants du système sont gérées de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que le groupe de déploiement de Lambda Compute Platform n'utilise pas la configuration de déploiement par défaut. La règle est NON _ COMPLIANT si le groupe de déploiement utilise la configuration de déploiement 'CodeDeployDefault. LambdaAllAtOnce'. | |
| 6.5.5 | Les modifications apportées à tous les composants du système sont gérées de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que la première étape de déploiement de AWS CodePipeline effectue au moins un déploiement. Il s'agit de surveiller l'activité de déploiement continue, de garantir des mises à jour régulières et d'identifier les pipelines inactifs ou sous-utilisés, qui peuvent signaler des problèmes lors du processus de développement ou de déploiement. Assurez-vous éventuellement que chacune des étapes restantes suivantes est déployée sur un nombre de déploiements supérieur au nombre spécifié (deploymentLimit). | |
| 6.5.6 | Les modifications apportées à tous les composants du système sont gérées de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que le groupe de déploiement de Lambda Compute Platform n'utilise pas la configuration de déploiement par défaut. La règle est NON _ COMPLIANT si le groupe de déploiement utilise la configuration de déploiement 'CodeDeployDefault. LambdaAllAtOnce'. | |
| 6.5.6 | Les modifications apportées à tous les composants du système sont gérées de manière sécurisée. (PCI- DSS -v4.0) | Assurez-vous que la première étape de déploiement de AWS CodePipeline effectue au moins un déploiement. Il s'agit de surveiller l'activité de déploiement continue, de garantir des mises à jour régulières et d'identifier les pipelines inactifs ou sous-utilisés, qui peuvent signaler des problèmes lors du processus de développement ou de déploiement. Assurez-vous éventuellement que chacune des étapes restantes suivantes est déployée sur un nombre de déploiements supérieur au nombre spécifié (deploymentLimit). | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.2.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.2.2 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 7.2.4 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été consultés dans un délai spécifié. La règle est NON _ COMPLIANT si aucun secret n'a été consulté depuis unusedForDays « » plusieurs jours. La valeur par défaut est 90 jours. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.2.5 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 7.2.5.1 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été consultés dans un délai spécifié. La règle est NON _ COMPLIANT si aucun secret n'a été consulté depuis unusedForDays « » plusieurs jours. La valeur par défaut est 90 jours. | |
| 7.2.6 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.2.6 | L'accès aux composants et aux données du système est défini et attribué de manière appropriée. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.3.1 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.3.2 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 7.3.3 | L'accès aux composants et aux données du système est géré via un ou plusieurs systèmes de contrôle d'accès. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 8.2.1 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.1 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (EC2) en cours d'exécution ne sont pas lancées à l'aide de paires de clés Amazon. La règle est NON _ COMPLIANT si une EC2 instance en cours d'exécution est lancée avec une paire de clés. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (EC2) en cours d'exécution ne sont pas lancées à l'aide de paires de clés Amazon. La règle est NON _ COMPLIANT si une EC2 instance en cours d'exécution est lancée avec une paire de clés. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que le projet DOES NOT contient les variables d'environnement AWS_ACCESS _ KEY _ID et AWS_SECRET _ ACCESS _KEY. La règle est NON _ COMPLIANT lorsque les variables d'environnement du projet contiennent des informations d'identification en texte brut. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| 8.2.2 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été consultés dans un délai spécifié. La règle est NON _ COMPLIANT si aucun secret n'a été consulté depuis unusedForDays « » plusieurs jours. La valeur par défaut est 90 jours. | |
| 8.2.4 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.4 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (EC2) en cours d'exécution ne sont pas lancées à l'aide de paires de clés Amazon. La règle est NON _ COMPLIANT si une EC2 instance en cours d'exécution est lancée avec une paire de clés. | |
| 8.2.5 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.5 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (EC2) en cours d'exécution ne sont pas lancées à l'aide de paires de clés Amazon. La règle est NON _ COMPLIANT si une EC2 instance en cours d'exécution est lancée avec une paire de clés. | |
| 8.2.6 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été consultés dans un délai spécifié. La règle est NON _ COMPLIANT si aucun secret n'a été consulté depuis unusedForDays « » plusieurs jours. La valeur par défaut est 90 jours. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 8.2.7 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que la version des métadonnées de votre instance Amazon Elastic Compute Cloud (AmazonEC2) est configurée avec la version 2 du service de métadonnées d'instance (IMDSv2). La règle est NON _ COMPLIANT si elle HttpTokens est définie sur facultatif. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que seule cette option IMDSv2 est activée. Cette règle est NON _ COMPLIANT si la version des métadonnées n'est pas incluse dans la configuration de lancement ou si les métadonnées V1 et V2 sont activées. | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 8.2.8 | L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie des comptes. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 8.3.10.1 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clés IAM d'accès actives sont pivotées (modifiées) dans le nombre de jours spécifié dans maxAccessKey Age. La règle est NON _ COMPLIANT si les clés d'accès ne sont pas pivotées dans le délai spécifié. La valeur par défaut est 90 jours. | |
| 8.3.10.1 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8.3.10.1 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| 8.3.11 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.3.11 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les instances Amazon Elastic Compute Cloud (EC2) en cours d'exécution ne sont pas lancées à l'aide de paires de clés Amazon. La règle est NON _ COMPLIANT si une EC2 instance en cours d'exécution est lancée avec une paire de clés. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de travail Amazon Athena est chiffré au repos. La règle est NON _ COMPLIANT si le chiffrement des données au repos n'est pas activé pour un groupe de travail Athena. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les instantanés d'un cluster de base de données Amazon Neptune sont chiffrés. La règle est NON _ COMPLIANT si les instantanés d'un cluster Neptune ne sont pas chiffrés. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon Redshift utilisent une clé de service de gestion des AWS clés (AWS KMS) spécifiée pour le chiffrement. La règle est que COMPLIANT le chiffrement est activé et que le cluster est chiffré avec la clé fournie dans le kmsKeyArn paramètre. La règle est NON _ COMPLIANT si le cluster n'est pas chiffré ou chiffré avec une autre clé. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement est activé pour tous les artefacts d'un AWS CodeBuild projet. La règle est NON _ COMPLIANT si « encryptionDisabled » est défini sur « vrai » pour toute configuration d'artefact principale ou secondaire (le cas échéant). | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement des journaux d'un AWS CodeBuild projet configuré avec Amazon S3 Logs est activé. La règle est NON _ COMPLIANT si « encryptionDisabled » est défini sur « vrai » dans le S3 LogsConfig d'un projet. CodeBuild | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon DynamoDB Accelerator DAX () sont chiffrés. La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) pour les magasins de données Redis sont activés pour le SSL chiffrement TLS des données communiquées avec d'autres points de terminaison. La règle est NON _ COMPLIANT si le SSL chiffrementTLS/n'est pas activé. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clusters Amazon Elastic Kubernetes Service sont configurés pour que les secrets Kubernetes soient chiffrés à l'aide des clés Key Management Service (). AWS KMS | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le cache est activé et crypté pour toutes les méthodes utilisées dans les étapes d'Amazon API Gateway. La règle est NON _ COMPLIANT si l'une des méthodes d'une étape Amazon API Gateway n'est pas configurée pour le cache ou si le cache n'est pas crypté. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement du stockage est activé pour vos clusters Amazon DocumentDB (avec compatibilité MongoDB). La règle est NON _ COMPLIANT si le chiffrement du stockage n'est pas activé. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que la table Amazon DynamoDB est chiffrée AWS avec Key Management Service (). KMS La règle est NON _ COMPLIANT si la table Amazon DynamoDB n'est pas chiffrée avec. AWS KMS La règle est également NON _ COMPLIANT si la AWS KMS clé cryptée n'est pas présente dans le paramètre kmsKeyArns d'entrée. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les tables Amazon DynamoDB sont chiffrées et vérifiez leur statut. La règle est de COMPLIANT savoir si le statut est activé ou activant. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions n'utilisent pas de SSL protocoles obsolètes pour la HTTPS communication entre les emplacements CloudFront périphériques et les origines personnalisées. Cette règle est NON _ COMPLIANT pour une CloudFront distribution si une « inclut OriginSslProtocols SSLv3 ». | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon chiffrent le trafic selon des origines personnalisées. La règle est NON _ COMPLIANT si '' est « http uniquement » ou si OriginProtocolPolicy OriginProtocolPolicy « 'est 'match-viewer' et' » est « allow-all ». ViewerProtocolPolicy | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFront distributions Amazon l'utilisent HTTPS (directement ou via une redirection). La règle est NON _ COMPLIANT si la valeur de ViewerProtocolPolicy est définie sur « allow-all » pour le DefaultCacheBehavior ou pour le. CacheBehaviors | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le projet DOES NOT contient les variables d'environnement AWS_ACCESS _ KEY _ID et AWS_SECRET _ ACCESS _KEY. La règle est NON _ COMPLIANT lorsque les variables d'environnement du projet contiennent des informations d'identification en texte brut. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que votre cluster ClusterEndpointEncryptionType Amazon DynamoDB Accelerator DAX () est défini sur. TLS La règle est NON _ COMPLIANT si un DAX cluster n'est pas chiffré par transport layer security (TLS). | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les EKS clusters Amazon ne sont pas configurés pour que les secrets Kubernetes soient chiffrés à l'aide de. AWS KMS La règle est NON _ COMPLIANT si un EKS cluster ne possède pas de encryptionConfig ressource ou s'il encryptionConfig ne nomme pas les secrets en tant que ressource. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les flux Amazon Kinesis sont chiffrés au repos grâce au chiffrement côté serveur. La règle est NON _ COMPLIANT pour un flux Kinesis si « StreamEncryption » n'est pas présent. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'un MSK cluster Amazon applique le chiffrement en transit en utilisant HTTPS (TLS) avec les nœuds courtiers du cluster. La règle est NON _ COMPLIANT si la communication en texte brut est activée pour les connexions entre nœuds de courtage au sein du cluster. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que le chiffrement du stockage est activé pour vos clusters de base de données Amazon Neptune. La règle est NON _ COMPLIANT si le chiffrement du stockage n'est pas activé. | |
| 8.3.2 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les points de terminaison du AWS Database Migration Service (AWS DMS) sont configurés avec une SSL connexion. La règle est NON _ COMPLIANT si AWS DMS aucune SSL connexion n'est configurée. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'une politique de compartiment Amazon Simple Storage Service (Amazon S3) n'autorise pas les actions bloquées au niveau du compartiment et au niveau de l'objet sur les ressources du compartiment pour les principaux d'autres comptes. AWS Par exemple, la règle vérifie que la politique du compartiment Amazon S3 n'autorise aucun autre AWS compte à effectuer des actions s3 : GetBucket * et s3 : DeleteObject sur un objet du compartiment. La règle est NON _ COMPLIANT si des actions bloquées sont autorisées par la politique relative aux compartiments Amazon S3. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que vos politiques de compartiment Amazon Simple Storage Service (S3) n'autorisent pas d'autres autorisations inter-comptes que la politique de contrôle des compartiments Amazon S3 que vous fournissez. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que la Shield Response Team (SRT) peut accéder à votre AWS compte. La règle est NON _ COMPLIANT si AWS Shield Advanced est activé mais que le rôle d'SRTaccès n'est pas configuré. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'une IAM politique ARN est attachée à un IAM utilisateur, à un groupe comprenant un ou plusieurs IAM utilisateurs, ou à un IAM rôle associé à une ou plusieurs entités de confiance. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification de base de données AWS Identity and Access Management (IAM) est activée sur un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'authentification de IAM base de données n'est pas activée sur un cluster Amazon Neptune. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur un cluster RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur un RDS cluster Amazon. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'un profil AWS Identity and Access Management (IAM) est associé à une EC2 instance. La règle est NON _ COMPLIANT si aucun IAM profil n'est attaché à l'EC2instance. | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| 8.3.4 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que l'authentification Identity and Access Management () AWS est activée sur une instance RDS Amazon Relational Database Service IAM (Amazon). La règle est NON _ COMPLIANT si l'IAMauthentification n'est pas activée sur une RDS instance Amazon. | |
| 8.3.5 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clés IAM d'accès actives sont pivotées (modifiées) dans le nombre de jours spécifié dans maxAccessKey Age. La règle est NON _ COMPLIANT si les clés d'accès ne sont pas pivotées dans le délai spécifié. La valeur par défaut est 90 jours. | |
| 8.3.5 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8.3.5 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| 8.3.7 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clés IAM d'accès actives sont pivotées (modifiées) dans le nombre de jours spécifié dans maxAccessKey Age. La règle est NON _ COMPLIANT si les clés d'accès ne sont pas pivotées dans le délai spécifié. La valeur par défaut est 90 jours. | |
| 8.3.7 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8.3.7 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| 8.3.9 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que les clés IAM d'accès actives sont pivotées (modifiées) dans le nombre de jours spécifié dans maxAccessKey Age. La règle est NON _ COMPLIANT si les clés d'accès ne sont pas pivotées dans le délai spécifié. La valeur par défaut est 90 jours. | |
| 8.3.9 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8.3.9 | Une authentification forte pour les utilisateurs et les administrateurs est établie et gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| 8.4.1 | L'authentification multifactorielle (MFA) est mise en œuvre pour sécuriser l'accès auCDE. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| 8.4.2 | L'authentification multifactorielle (MFA) est mise en œuvre pour sécuriser l'accès auCDE. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| 8.4.3 | L'authentification multifactorielle (MFA) est mise en œuvre pour sécuriser l'accès auCDE. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| 8,6.3 | L'utilisation des comptes de l'application et du système et des facteurs d'authentification associés est strictement gérée. (PCI- DSS -v4.0) | Assurez-vous que les clés IAM d'accès actives sont pivotées (modifiées) dans le nombre de jours spécifié dans maxAccessKey Age. La règle est NON _ COMPLIANT si les clés d'accès ne sont pas pivotées dans le délai spécifié. La valeur par défaut est 90 jours. | |
| 8,6.3 | L'utilisation des comptes de l'application et du système et des facteurs d'authentification associés est strictement gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. Secrets Manager calcule la date à laquelle la rotation doit avoir lieu. La règle est NON _ COMPLIANT si la date est dépassée et que le secret n'est pas modifié. | |
| 8,6.3 | L'utilisation des comptes de l'application et du système et des facteurs d'authentification associés est strictement gérée. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont fait l'objet d'une rotation au cours des derniers jours spécifiés. La règle est NON _ COMPLIANT si un secret n'a pas fait l'objet d'une rotation pendant plus de jours que le nombre de jours de maxDaysSince rotation. La valeur par défaut est 90 jours. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'un instantané manuel du cluster de base de données Amazon Neptune n'est pas public. La règle est NON _ COMPLIANT si un instantané du cluster Neptune existant ou nouveau est public. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| A1.1.2 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon API Gateway APIs est du type spécifié dans le paramètre de règle « endpointConfigurationType ». La règle renvoie NON _ COMPLIANT s'il REST API ne correspond pas au type de point de terminaison configuré dans le paramètre de règle. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont associées à un pare-feu d'applications Web (WAF) ou à des listes de contrôle d'accès WAFv2 Web (ACLs). La règle est NON _ COMPLIANT si une CloudFront distribution n'est pas associée à un WAF site WebACL. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que le certificat associé à une CloudFront distribution Amazon n'est pas le SSL certificat par défaut. La règle est NON _ COMPLIANT si une CloudFront distribution utilise le SSL certificat par défaut. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'une politique AWS Network Firewall est configurée avec une action par défaut sans état définie par l'utilisateur pour les paquets fragmentés. La règle est NON _ COMPLIANT si l'action par défaut apatride pour les paquets fragmentés ne correspond pas à l'action par défaut définie par l'utilisateur. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les groupes de sécurité de base de données Amazon Relational Database Service (RDSAmazon) sont les groupes de sécurité par défaut. La règle est NON _ COMPLIANT s'il existe des groupes de sécurité de base de données qui ne sont pas le groupe de sécurité de base de données par défaut. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que « AutoAcceptSharedAttachments » n'est pas activé sur les passerelles de transit Amazon Elastic Compute Cloud (AmazonEC2). La règle est NON _ COMPLIANT pour un Transit Gateway si « AutoAcceptSharedAttachments » est défini sur « activer ». | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que le point de terminaison Amazon Elastic Kubernetes Service (EKSAmazon) n'est pas accessible au public. La règle est NON _ COMPLIANT si le point de terminaison est accessible au public. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (INCOMING_ SSH _DISABLED) et le nom de règle (restricted-ssh) sont différents. Assurez-vous que le SSH trafic entrant pour les groupes de sécurité est accessible. La règle est de COMPLIANT savoir si les adresses IP du SSH trafic entrant dans les groupes de sécurité sont restreintes (CIDRautres que 0.0.0.0/0 ou : :/0). Sinon, NON _COMPLIANT. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu' AWS AppSync APIsils sont associés aux listes de contrôle d'accès AWS WAFv2 Web (ACLs). La règle est NON _ COMPLIANT pour un AWS AppSync API s'il n'est pas associé à un site WebACL. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que le référentiel source de Bitbucket URL DOES NOT contient des informations de connexion ou non. La règle est NON _ COMPLIANT si elle URL contient des informations de connexion et COMPLIANT si ce n'est pas le cas. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les Classic Load Balancers utilisent des SSL certificats fournis par AWS Certificate Manager. Pour utiliser cette règle, utilisez un HTTPS écouteur SSL or avec votre Classic Load Balancer. Remarque : cette règle ne s'applique qu'aux équilibreurs de charge classiques. Cette règle ne vérifie pas les Application Load Balancers, ni les Network Load Balancers. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les ports par défaut pour le traficSSH/RDPingress pour les listes de contrôle d'accès réseau (NACLs) sont restreints. La règle est NON _ COMPLIANT si une entrée NACL entrante autorise une source TCP ou un UDP CIDR bloc pour les ports 22 ou 3389. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'un site Web WAF mondial ACL contient des WAF règles ou des groupes de règles. Cette règle est NON _ COMPLIANT si un site Web ACL ne contient aucune WAF règle ou groupe de règles. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'un groupe de règles AWS WAF classique contient certaines règles. La règle est NON _ COMPLIANT si aucune règle n'est présente au sein d'un groupe de règles. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous qu'une règle AWS WAF globale contient certaines conditions. La règle est NON _ COMPLIANT si aucune condition n'est présente dans la règle WAF globale. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les règles VPN d'autorisation du AWS client n'autorisent pas l'accès à la connexion pour tous les clients. La règle est NON _ COMPLIANT si « AccessAll » est présent et défini sur true. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les passerelles Internet sont connectées à un cloud privé virtuel autorisé (AmazonVPC). La règle est NON _ COMPLIANT si les passerelles Internet sont connectées à un réseau non autoriséVPC. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| A1.1.3 | Les fournisseurs de services mutualisés protègent et séparent tous les environnements et données des clients. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des accès est activée sur les étapes Amazon API Gateway V2. La règle est NON _ COMPLIANT si « accessLogSettings » n'est pas présent dans la configuration de Stage. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que les CloudFront distributions Amazon sont configurées pour fournir des journaux d'accès à un compartiment Amazon S3. La règle est NON _ COMPLIANT si la journalisation n'est pas configurée pour une CloudFront distribution. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous qu'au moins une AWS CloudTrail piste est définie conformément aux meilleures pratiques de sécurité. Cette règle s'COMPLIANTapplique s'il existe au moins une piste qui répond à toutes les conditions suivantes : | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | neptune-cluster-cloudwatch-log-compatible avec l'exportation |
Assurez-vous que l'exportation des journaux est activée pour les CloudWatch journaux d'audit d'un cluster Amazon Neptune. La règle est NON _ COMPLIANT si l'exportation des journaux n'est pas activée pour les CloudWatch journaux d'audit d'un cluster Neptune. |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous qu'il logConfiguration est défini sur les définitions de ECS tâches actives. Cette règle est NON _ COMPLIANT si la logConfiguration ressource ECSTaskDefinition n'est pas définie pour un actif ou si la valeur de logConfiguration est nulle dans au moins une définition de conteneur. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Remarque : Pour cette règle, l'identifiant de règle (CLOUD_ TRAIL _ENABLED) et le nom de la règle (compatible avec Cloudtrail) sont différents. Assurez-vous qu'un AWS CloudTrail suivi est activé dans votre AWS compte. La règle est NON _ COMPLIANT si aucune piste n'est activée. Facultativement, la règle vérifie un compartiment S3, une rubrique Amazon Simple Notification Service (AmazonSNS) et un groupe de CloudWatch journaux spécifiques. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Remarque : pour cette règle, l'identifiant de règle (MULTI_ _ REGION _ CLOUD TRAIL _ENABLED) et le nom de règle (multi-region-cloudtrail-enabled) sont différents. Assurez-vous qu'il existe au moins une région multirégionale. AWS CloudTrail La règle est NON _ COMPLIANT si les pistes ne correspondent pas aux paramètres d'entrée. La règle est NON _ COMPLIANT si le ExcludeManagementEventSources champ n'est pas vide ou s'il AWS CloudTrail est configuré pour exclure des événements de gestion tels que AWS KMS des événements ou RDS des API événements Amazon Data. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la AWS AppSync API journalisation est activée. La règle est NON _ COMPLIANT si la journalisation n'est pas activée, ou « fieldLogLevel » n'est ni activé ERROR niALL. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les listes de contrôle d'accès Web globales AWS WAF classiques (WebACLs). La règle est NON _ COMPLIANT pour un site Web mondialACL, si la journalisation n'est pas activée. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que les courtiers Amazon MQ ont activé la journalisation des CloudWatch audits Amazon. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour un courtier. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la journalisation des CloudWatch audits est activée chez un courtier Amazon MQ. La règle est NON _ COMPLIANT si la journalisation des audits n'est pas activée pour le broker. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous qu'un cluster Amazon Elastic Kubernetes Service (EKSAmazon) est configuré avec la journalisation activée. La règle est NON _ COMPLIANT si la journalisation pour les EKS clusters Amazon n'est pas activée pour tous les types de journaux. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que les environnements AWS Elastic Beanstalk sont configurés pour envoyer des journaux à Amazon Logs. CloudWatch La règle est NON _ COMPLIANT si la valeur de `StreamLogs` est fausse. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur la machine AWS Step Functions. La règle est NON _ COMPLIANT si la journalisation n'est pas activée sur une machine à états ou si la configuration de journalisation n'est pas au niveau minimum fourni. | |
| A1.2.1 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous que la journalisation est activée sur les pare-feux AWS Network Firewall. La règle est NON _ COMPLIANT si aucun type de journalisation n'est configuré. Vous pouvez spécifier le type de journalisation que vous souhaitez vérifier à l'aide de cette règle. | |
| A1.2.3 | Les fournisseurs de services à locataires multiples facilitent la journalisation et la réponse aux incidents pour tous les clients. (PCI- DSS -v4.0) | Assurez-vous d'avoir fourni les coordonnées de sécurité des contacts de votre AWS compte. La règle est NON _ COMPLIANT si les coordonnées de sécurité du compte ne sont pas fournies. | |
| A3.2.5.1 | PCIDSSle champ d'application est documenté et validé. (PCI- DSS -v4.0) | Assurez-vous que la découverte automatique des données sensibles est activée pour Amazon Macie. La règle est NON _ COMPLIANT si la découverte automatique des données sensibles est désactivée. La règle concerne APPLICABLE les comptes d'administrateur et NOT _ APPLICABLE pour les comptes de membres. | |
| A3.2.5.1 | PCIDSSle champ d'application est documenté et validé. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon Macie est activé dans votre compte par région. La règle est NON _ COMPLIANT si l'attribut « status » n'est pas défini sur « ENABLED ». | |
| A3.2.5.2 | PCIDSSle champ d'application est documenté et validé. (PCI- DSS -v4.0) | Assurez-vous que la découverte automatique des données sensibles est activée pour Amazon Macie. La règle est NON _ COMPLIANT si la découverte automatique des données sensibles est désactivée. La règle concerne APPLICABLE les comptes d'administrateur et NOT _ APPLICABLE pour les comptes de membres. | |
| A3.2.5.2 | PCIDSSle champ d'application est documenté et validé. (PCI- DSS -v4.0) | Assurez-vous qu'Amazon Macie est activé dans votre compte par région. La règle est NON _ COMPLIANT si l'attribut « status » n'est pas défini sur « ENABLED ». | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que les CloudWatch alarmes portant le nom de métrique donné possèdent les paramètres spécifiés. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| A3.3.1 | PCIDSSest intégré aux activités business-as-usual (BAU). (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous qu'un instantané manuel du cluster de base de données Amazon Neptune n'est pas public. La règle est NON _ COMPLIANT si un instantané du cluster Neptune existant ou nouveau est public. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que les instantanés de cluster manuels Amazon DocumentDB ne sont pas publics. La règle est NON _ COMPLIANT si des instantanés de cluster manuels Amazon DocumentDB sont publics. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous qu'un coffre-fort de sauvegarde est associé à une politique basée sur les ressources qui empêche la suppression de points de restauration. La règle est NON _ COMPLIANT si le Backup Vault ne dispose pas de politiques basées sur les ressources ou possède des politiques dépourvues d'une instruction « Deny » appropriée (instruction avec PutBackupVaultAccessPolicy autorisations backup :DeleteRecoveryPoint, backup : UpdateRecoveryPointLifecycle et backup :). | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur un EMR compte Amazon. La règle est NON _ COMPLIANT si BlockPublicSecurityGroupRules c'est faux, ou si c'est vrai, les ports autres que le port 22 sont répertoriés dans PermittedPublicSecurityGroupRuleRanges. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que AWS les secrets de Secrets Manager ont été consultés dans un délai spécifié. La règle est NON _ COMPLIANT si aucun secret n'a été consulté depuis unusedForDays « » plusieurs jours. La valeur par défaut est 90 jours. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage de l'accès public sont activés sur les points d'accès Amazon S3. La règle est NON _ COMPLIANT si les paramètres de blocage de l'accès public ne sont pas activés pour les points d'accès S3. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que les paramètres de blocage d'accès public requis sont configurés au niveau du compte. La règle est NON _ uniquement COMPLIANT lorsque les champs définis ci-dessous ne correspondent pas aux champs correspondants de l'élément de configuration. | |
| A3.4.1 | L'accès logique à l'environnement des données du titulaire de la carte est contrôlé et géré. (PCI- DSS -v4.0) | Assurez-vous que l'option MFA Supprimer est activée dans la configuration de gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3). La règle est NON _ COMPLIANT si l'option MFA Supprimer n'est pas activée. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que le suivi AWS X-Ray est activé sur Amazon API Gateway RESTAPIs. La règle est de savoir COMPLIANT si le traçage X-Ray est activé et NON _ dans le COMPLIANT cas contraire. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que vos CloudFormation piles envoient des notifications d'événements à un SNS sujet Amazon. Assurez-vous éventuellement que les SNS rubriques Amazon spécifiées sont utilisées. La règle est NON _ COMPLIANT si les CloudFormation piles n'envoient pas de notifications. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que la surveillance détaillée est activée pour les EC2 instances. La règle est NON _ COMPLIANT si la surveillance détaillée n'est pas activée. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous qu'une action des CloudWatch alarmes est configurée pour l'état ALARMDATA, INSUFFICIENT _ ou OK. Assurez-vous éventuellement que toutes les actions correspondent à un nomARN. La règle est NON _ COMPLIANT si aucune action n'est spécifiée pour l'alarme ou le paramètre facultatif. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous qu'un type de ressource possède une CloudWatch alarme pour la métrique nommée. Pour le type de ressource, vous pouvez spécifier EBS des volumes, EC2 des instances, RDS des clusters Amazon ou des compartiments S3. La règle est de COMPLIANT savoir si la métrique nommée possède un identifiant de ressource et une CloudWatch alarme. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que les CloudWatch alarmes portant le nom de métrique donné possèdent les paramètres spécifiés. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que la collecte des métriques CloudWatch de sécurité Amazon sur les groupes de AWS WAFv2 règles est activée. La règle est NON _ COMPLIANT si le 'VisibilityConfig. CloudWatchMetricsEnabledle champ 'est défini sur false. | |
| A3.5.1 | Les événements suspects sont identifiés et traités. (PCI- DSS -v4.0) | Assurez-vous que la journalisation par Amazon Simple Notification Service (SNS) est activée pour connaître l'état de livraison des messages de notification envoyés à un sujet pour les points de terminaison. La règle est NON _ COMPLIANT si la notification d'état de livraison des messages n'est pas activée. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for PCI DSS 4.0 (y compris les types de ressources globaux)
