Ressources requises pour tous les contrôles du Security Hub Ressources requises pour la FSBP norme Ressources requises pour CIS AWS Foundations Benchmark Ressources requises pour le NIST SP 800-53 Rev. 5 Ressources requises pour la PCI DSS version 3.2.1 Ressources requises pour AWS Resource Tagging Standard Ressources requises pour Service-Managed Standard : AWS Control Tower

AWS Config Ressources requises pour les résultats des contrôles du Security Hub

AWS Security Hub génère des résultats de contrôle en effectuant des vérifications de sécurité par rapport aux contrôles. Certains contrôles utilisent des AWS Config règles qui évaluent la conformité à des ressources spécifiques. Pour que Security Hub génère des résultats pour les contrôles dont le type de planification est déclenché par des modifications, vous devez activer l'enregistrement des ressources requises dans AWS Config. Il n'est pas nécessaire d'enregistrer les ressources pour la plupart des contrôles dotés d'un type de planification périodique. Cependant, certains contrôles périodiques nécessitent l'enregistrement des ressources pour détecter les changements de conformité.

Cette page fournit une liste des ressources requises selon les normes et une liste des ressources requises divisée par norme. Le premier tableau répertorie également les contrôles Security Hub qui utilisent chaque ressource.

Si un résultat est généré par un contrôle de sécurité basé sur une AWS Config règle, les détails du résultat incluent un lien Règles vers la AWS Config règle associée. Pour accéder à la AWS Config règle, votre compte doit être autorisé AWS Identity and Access Management (IAM) à consulter AWS Config les règles.

Note

Régions AWS Lorsqu'un contrôle n'est pas disponible, la ressource correspondante n'est pas disponible dans AWS Config. Pour obtenir la liste des limites régionales applicables aux contrôles du Security Hub, consultezDisponibilité des contrôles par région.

Ressources requises pour tous les contrôles du Security Hub

Pour que Security Hub puisse générer des résultats pour les contrôles déclenchés par des modifications de Security Hub activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config. Ce tableau indique également quels contrôles nécessitent une ressource particulière. Un contrôle peut nécessiter plusieurs ressources.

Service	Ressource requise	Contrôles associés
APIPasserelle Amazon	`AWS::ApiGateway::Stage`	APIGateway1. APIGateway2. APIGateway3. APIGateway4. APIGateway5.
APIPasserelle Amazon	`AWS::ApiGatewayV2::Stage`	APIGateway1. APIGateway9.
AWS AppSync	`AWS::AppSync::GraphQLApi`	AppSync2. AppSync4. AppSync5.
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan`	Sauvegarde.5
	`AWS::Backup::BackupVault`	Sauvegarde.3
	`AWS::Backup::RecoveryPoint`	Sauvegarde.1 Sauvegarde.2
	`AWS::Backup::ReportPlan`	Sauvegarde.4
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`	ACM1. ACM2. ACM3.
Amazon Athena	`AWS::Athena::DataCatalog`	Athéna.2
Amazon Athena	`AWS::Athena::WorkGroup`	Athéna.3 Athéna.4
AWS CloudFormation	`AWS::CloudFormation::Stack`	CloudFormation2.
Amazon CloudFront	`AWS::CloudFront::Distribution`	CloudFront1. CloudFront3. CloudFront4. CloudFront5. CloudFront6. CloudFront7. CloudFront8. CloudFront9. CloudFront.10 CloudFront.13 CloudFront.14
AWS CloudTrail	`AWS::CloudTrail::Trail`	CloudTrail9.
Amazon CloudWatch	`AWS::CloudWatch::Alarm`	CloudWatch.15 CloudWatch.17
AWS CodeArtifact	`AWS::CodeArtifact::Repository`	CodeArtifact1.
AWS CodeBuild	`AWS::CodeBuild::Project`	CodeBuild1. CodeBuild2. CodeBuild3. CodeBuild4.
AWS CodeBuild	`AWS::CodeBuild::ReportGroup`	CodeBuild7.
AWS DataSync	`AWS::DataSync::Task`	DataSync1.
Amazon Detective	`AWS::Detective::Graph`	Détective 1
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate`	DMS2.
	`AWS::DMS::Endpoint`	`DMS.9` `DMS.10` `DMS.11` `DMS.12`
	`AWS::DMS::EventSubscription`	DMS3.
	`AWS::DMS::ReplicationInstance`	DMS4. DMS6.
	`AWS::DMS::ReplicationSubnetGroup`	DMS5.
	`AWS::DMS::ReplicationTask`	DMS7. DMS8.
Amazon DynamoDB	`AWS::DynamoDB::Table`	DynamoDB.1 DynamoDB.2 Dynamo DB.5 Dynamo DB.6
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint`	EC25.1
	`AWS::EC2::CustomerGateway`	EC2.36
	`AWS::EC2::EIP`	EC2.12 EC2.37
	`AWS::EC2::FlowLog`	EC2.48
	`AWS::EC2::Instance`	EC24. EC28. EC29. EC2.17 EC22.4 EC2.38 EMR1. SSM1.
	`AWS::EC2::InternetGateway`	EC2.39
	`AWS::EC2::LaunchTemplate`	EC2.25
	`AWS::EC2::NatGateway`	EC2.40
	`AWS::EC2::NetworkAcl`	EC2.16 EC2.21 EC2.41
	`AWS::EC2::NetworkInterface`	EC22.2 EC2.35
	`AWS::EC2::RouteTable`	EC24.2
	`AWS::EC2::SecurityGroup`	EC22. EC2.13 EC2.14 EC2.18 EC2.19 EC24.3
	`AWS::EC2::Subnet`	EC2.15 EC2.44 ElastiCache7.
	`AWS::EC2::TransitGateway`	EC2.23 EC25.2
	`AWS::EC2::TransitGatewayAttachment`	EC2.33
	`AWS::EC2::TransitGatewayRouteTable`	EC2.34
	`AWS::EC2::Volume`	EC23. EC2.45
	`AWS::EC2::VPC`	EC26. EC2.46
	`AWS::EC2::VPCEndpointService`	EC24,7
	`AWS::EC2::VPCPeeringConnection`	EC24,9
	`AWS::EC2::VPNConnection`	EC2.20
	`AWS::EC2::VPNGateway`	EC25,0
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`	AutoScaling1. AutoScaling2. AutoScaling6. AutoScaling9. AutoScaling.10
Amazon EC2 Auto Scaling	`AWS::AutoScaling::LaunchConfiguration`	AutoScaling3. Autoscaling.5
Amazon EC2 Systems Manager (SSM)	`AWS::SSM::AssociationCompliance`	SSM3.
	`AWS::SSM::ManagedInstanceInventory`	SSM1.
	`AWS::SSM::PatchCompliance`	SSM2.
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::PublicRepository`	ECR4.
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`	ECR2. ECR3.
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster`	ECS.12 ECS.14
	`AWS::ECS::Service`	ECS2. ECS.10 ECS.13
	`AWS::ECS::TaskDefinition`	ECS1. ECS3. ECS4. ECS5. ECS8. ECS9. ECS.15
	`AWS::ECS::TaskSet`	ECS.16
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`	EFS3. EFS4. EFS5.
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::FileSystem`	EFS7.
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::Cluster`	EKS2. EKS6. EKS8.
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::IdentityProviderConfig`	EKS7.
AWS Elastic Beanstalk	`AWS::ElasticBeanstalk::Environment`	ElasticBeanstalk1. ElasticBeanstalk2. ElasticBeanstalk3.
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer`	ELB2. ELB3. ELB5. ELB7. ELB8. ELB9. ELB.10 ELB.14
Elastic Load Balancing	`AWS::ElasticLoadBalancingV2::LoadBalancer`	ELB1. ELB4. ELB5. ELB6. ELB.12 ELB.13 ELB.16
ElasticSearch	`AWS::Elasticsearch::Domain`	ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 ES.9
Amazon EventBridge	`AWS::Events::EventBus`	EventBridge2. EventBridge3.
Amazon EventBridge	`AWS::Events::Endpoint`	EventBridge4.
`AWS Global Accelerator`	`AWS::GlobalAccelerator::Accelerator`	GlobalAccelerator1.
`AWS Glue`	`AWS::Glue::Job`	Colle.1 Colle.2
`AWS Glue`	`AWS::Glue::MLTransform`	Colle.3
`Amazon GuardDuty`	`AWS::GuardDuty::Detector`	GuardDuty4.
	`AWS::GuardDuty::Filter`	GuardDuty2.
	`AWS::GuardDuty::IPSet`	GuardDuty3.
AWS Identity and Access Management (IAM)	`AWS::IAM::Group`	IAM.27 KMS2.
	`AWS::IAM::Policy`	IAM1. IAM.21 KMS1.
	`AWS::IAM::Role`	IAM2.4 IAM.27 KMS2.
	`AWS::IAM::User`	IAM2. IAM3. IAM5. IAM8. IAM.19 IAM2.2 IAM.25 IAM.27 KMS2.
AWS Identity and Access Management Access Analyzer	`AWS::AccessAnalyzer::Analyzer`	IAM.23
AWS IoT	`AWS::IoT::Authorizer`	IoT 4
	`AWS::IoT::Dimension`	IoT. 3
	`AWS::IoT::MitigationAction`	IoT 2
	`AWS::IoT::Policy`	IoT .6
	`AWS::IoT::RoleAlias`	Internet des objets 5
	`AWS::IoT::SecurityProfile`	IoT.1
Amazon Kinesis	`AWS::Kinesis::Stream`	Kinesis.1 Kinése.2 Kinése.3
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias`	S3.17
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`	KMS3. S3.17
AWS Lambda	`AWS::Lambda::Function`	Lambda.1 Lambda.2 Lambda.3 Lambda.5 Lambda 6
Amazon MSK	`AWS::MSK::Cluster`	MSK1. MSK2.
Amazon MSK	`AWS::KafkaConnect::Connector`	MSK3.
Amazon MQ	`AWS::AmazonMQ::Broker`	MQ.2 MQ.3 MQ.4 MQ.5 MQ.6
AWS Network Firewall	`AWS::NetworkFirewall::Firewall`	NetworkFirewall1. NetworkFirewall7. NetworkFirewall9.
	`AWS::NetworkFirewall::FirewallPolicy`	NetworkFirewall3. NetworkFirewall4. NetworkFirewall5. NetworkFirewall8.
	`AWS::NetworkFirewall::RuleGroup`	NetworkFirewall6.
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`	Opensearch.1 Opensearch.2 Opensearch.3 Opensearch.4 Opensearch.5 Opensearch.6 Opensearch.7 Opensearch.8 OpenSearch.9 Opensearch.10 Opensearch.11
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster`	Document DB.1 Document DB.2 Document DB.4 Document DB.5 Neptune.1 Neptune.2 Neptune.4 Neptune.5 Neptune.7 Neptune.8 Neptune.9 RDS7. RDS.12 RDS.14 RDS.15 RDS.16 RDS2.4 RDS.27 RDS.28 RDS.34 RDS.35 RDS.37
	`AWS::RDS::DBClusterSnapshot`	Document DB.3 Neptune.3 Neptune.6 RDS1. RDS4. RDS.29
	`AWS::RDS::DBInstance`	RDS2. RDS3. RDS5. RDS6. RDS8. RDS9. RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS.23 RDS.25 RDS.30 RDS.36
	`AWS::RDS::DBSecurityGroup`	RDS3.1
	`AWS::RDS::DBSnapshot`	RDS1. RDS4. RDS3.2
	`AWS::RDS::DBSubnetGroup`	RDS3.3
	`AWS::RDS::EventSubscription`	RDS.19 RDS.20 RDS.21 RDS2.2
Amazon Redshift	`AWS::Redshift::Cluster`	Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 Redshift.11
	`AWS::Redshift::ClusterParameterGroup`	Redshift.2
	`AWS::Redshift::ClusterSnapshot`	Redshift.13
	`AWS::Redshift::ClusterSubnetGroup`	Redshift.14
	`AWS::Redshift::EventSubscription`	Redshift.12
Amazon Route 53	`AWS::Route53::HostedZone`	Itinéraire 53.2
Amazon Route 53	`AWS::Route53::HealthCheck`	Itinéraire 53.1
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::AccessPoint`	S3,19
	`AWS::S3::AccountPublicAccessBlock`	S3.2 S3.3
	`AWS::S3::Bucket`	S3.2 S3.3 S3.5 S3.6 S3,7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3,14 S3,15 S3.17 S3,20
	`AWS::S3::MultiRegionAccessPoint`	S3,24
AWS Secrets Manager	`AWS::SecretsManager::Secret`	SecretsManager1. SecretsManager2. SecretsManager5.
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`	ServiceCatalog1.
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ConfigurationSet`	SES2.
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ContactList`	SES1.
Service de notification simple d'Amazon (AmazonSNS)	`AWS::SNS::Topic`	SNS1. SNS3.
Service de file d'attente Amazon Simple (AmazonSQS)	`AWS::SQS::Queue`	SQS1. SQS2.
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`	SageMaker2. SageMaker3.
AWS Step Functions	`AWS::StepFunctions::StateMachine`	StepFunctions1.
AWS Step Functions	`AWS::StepFunctions::Activity`	StepFunctions2.
AWS Transfer Family	`AWS::Transfer::Workflow`	Transfer.1
AWS WAF	`AWS::WAF::Rule`	WAF6.
	`AWS::WAF::RuleGroup`	WAF7.
	`AWS::WAF::WebACL`	WAF1. WAF8.
	`AWS::WAFRegional::Rule`	WAF2.
	`AWS::WAFRegional::RuleGroup`	WAF3.
	`AWS::WAFRegional::WebACL`	WAF4.
	`AWS::WAFv2::RuleGroup`	WAF.12
	`AWS::WAFv2::WebACL`	WAF.10 WAF.11
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`	WorkSpaces1. WorkSpaces2.

Ressources requises pour la FSBP norme

Pour que Security Hub puisse rendre compte avec précision des résultats concernant les contrôles déclenchés par le changement dans les meilleures pratiques de sécurité AWS fondamentales v1.0.0 (FSBP) qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config Pour plus d'informations sur cette norme, consultezAWS Bonnes pratiques de sécurité fondamentales v1.0.0 () standard FSBP.

Service	Ressources requises
APIPasserelle Amazon	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CodeBuild	`AWS::CodeBuild::Project` `AWS::CodeBuild::ReportGroup`
AWS DataSync	`AWS::DataSync::Task`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon DynamoDB	`AWS::DynamoDB::Table`
Amazon EC2 Systems Manager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition` `AWS::ECS::TaskSet`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint` `AWS::EFS::FileSystem`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
AWS Glue	`AWS::Glue::Job` `AWS::Glue::MLTransform`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster` `AWS::KafkaConnect::Connector`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::AccessPoint` `AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket` `AWS::S3::MultiRegionAccessPoint`
Service de notification simple d'Amazon (AmazonSNS)	`AWS::SNS::Topic`
Service de file d'attente Amazon Simple (AmazonSQS)	`AWS::SQS::Queue`
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS Step Functions	`AWS::StepFunctions::StateMachine`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`

Ressources requises pour CIS AWS Foundations Benchmark

Pour effectuer des contrôles de sécurité pour les contrôles activés qui s'appliquent au Center for Internet Security (CIS) AWS Foundations Benchmark, Security Hub exécute les étapes d'audit exactes prescrites pour les contrôles dans Securing Amazon Web Services ou utilise des règles AWS Config gérées spécifiques.

Pour plus d'informations sur cette norme, consultezCIS AWS Benchmark des fondations.

Ressources requises pour la CIS version 3.0.0

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications de la CIS version 3.0.0 activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config

Service	Ressources requises
Amazon Elastic Compute Cloud (AmazonEC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::User` `AWS::IAM::Role`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBInstance`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::Bucket`

Ressources requises pour la CIS version 1.4.0

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications activées dans la CIS version 1.4.0 qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config.

Service	Ressources requises
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBInstance`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::Bucket`

Ressources requises pour la CIS version v1.2.0

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications de la CIS version 1.2.0 activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config.

Service Ressources requises

Service	Ressources requises
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::SecurityGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

Ressources requises pour le NIST SP 800-53 Rev. 5

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications activés par le National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans. AWS Config Vous devez uniquement enregistrer les ressources pour les contrôles qui déclenchent un type de modification de calendrier. Pour plus d'informations sur cette norme, consultezNISTSP 800-53 Rev. 5 dans Security Hub.

Service	Ressources requises
APIPasserelle Amazon	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
Amazon CloudWatch	`AWS::CloudWatch::Alarm`
AWS CodeBuild	`AWS::CodeBuild::Project`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EventBridge	`AWS::Events::Endpoint` `AWS::Events::EventBus`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::AccessPoint` `AWS::S3::Bucket`
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`
Service de notification simple d'Amazon (AmazonSNS)	`AWS::SNS::Topic`
Service de file d'attente Amazon Simple (AmazonSQS)	`AWS::SQS::Queue`
Amazon EC2 Systems Manager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`

Ressources requises pour la PCI DSS version 3.2.1

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles Payment Card Industry Data Security Standard (PCIDSS) activés qui utilisent une AWS Config règle, vous devez enregistrer ces ressources dans AWS Config. Pour plus d'informations sur cette norme, consultezPCIDSSv3.2.1 dans Security Hub.

Service	Ressources requises
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::SecurityGroup`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
AWS Lambda	`AWS::Lambda::Function`
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
Amazon EC2 Systems Manager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`

Ressources requises pour AWS Resource Tagging Standard

Tous les contrôles de la norme de balisage AWS des ressources sont déclenchés par des modifications et utilisent une AWS Config règle. Pour que Security Hub puisse rapporter avec précision les résultats de ces contrôles, vous devez enregistrer les ressources suivantes dans AWS Config. Vous devez uniquement enregistrer les ressources pour les contrôles qui déclenchent un type de modification de calendrier. Pour plus d'informations sur cette norme, consultezAWS Norme de balisage des ressources.

Service	Ressources requises
AWS AppSync	`AWS::AppSync::GraphQLApi`
Amazon Athena	`AWS::Athena::DataCatalog` `AWS::Athena::WorkGroup`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan` `AWS::Backup::BackupVault` `AWS::Backup::RecoveryPlan` `AWS::Backup::ReportPlan`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CloudTrail	`AWS::CloudTrail::Trail`
AWS CodeArtifact	`AWS::CodeArtifact::Repository`
Amazon Detective	`AWS::Detective::Graph`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate` `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationSubnetGroup`
Amazon DynamoDB	`AWS::DynamoDB::Trail`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::CustomerGateway` `AWS::EC2::EIP` `AWS::EC2::FlowLog` `AWS::EC2::Instance` `AWS::EC2::InternetGateway` `AWS::EC2::NatGateway` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::RouteTable` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::TransitGatewayAttachment` `AWS::EC2::TransitGatewayRouteTable` `AWS::EC2::Volume` `AWS::EC2::VPC` `AWS::EC2::VPCEndpointService` `AWS::EC2::VPCPeeringConnection` `AWS::EC2::VPNGateway`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::PublicRepository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::Cluster` `AWS::EKS::IdentityProviderConfig`
AWS Elastic Beanstalk (Elastic Beanstalk)	`AWS::ElasticBeanstalk::Environment`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EventBridge	`AWS::Events::EventBus`
AWS Global Accelerator	`AWS::GlobalAccelerator::Accelerator`
AWS Glue	`AWS::Glue::Job`
Amazon GuardDuty	`AWS::GuardDuty::Detector` `AWS::GuardDuty::Filter` `AWS::GuardDuty::IPSet`
AWS Identity and Access Management (IAM)	`AWS::IAM::Role` `AWS::IAM::User`
AWS Identity and Access Management Access Analyzer (Analyseur d'IAMaccès)	`AWS::AccessAnalyzer::Analyzer`
AWS IoT	`AWS::IoT::Authorizer` `AWS::IoT::Dimension` `AWS::IoT::MitigationAction` `AWS::IoT::Policy` `AWS::IoT::RoleAlias` `AWS::IoT::SecurityProfile`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy`
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`
Amazon Relational Database Service	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSecurityGroup` `AWS::RDS::DBSnapshot` `AWS::RDS::DBSubnetGroup`
Amazon Redshift	`AWS::Redshift::Cluster` `AWS::Redshift::ClusterSnapshot` `AWS::Redshift::ClusterSubnetGroup` `AWS::Redshift::EventSubscription`
Amazon Route 53	`AWS::Route53::HealthCheck`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ConfigurationSet` `AWS::SES::ContactList`
Service de notification simple d'Amazon (AmazonSNS)	`AWS::SNS::Topic`
Service de file d'attente Amazon Simple (AmazonSQS)	`AWS::SQS::Queue`
AWS Step Functions	`AWS::StepFunctions::Activity`
AWS Transfer Family	`AWS::Transfer::Workflow`

Ressources requises pour Service-Managed Standard : AWS Control Tower

Pour que Security Hub puisse communiquer avec précision les résultats relatifs à l'activation de Service-Managed Standard : contrôles déclenchés par des AWS Control Tower modifications qui utilisent une AWS Config règle, vous devez enregistrer les ressources suivantes dans. AWS Config Pour plus d'informations sur cette norme, consultezNorme de gestion des services : AWS Control Tower.

Service	Ressources requises
APIPasserelle Amazon	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
AWS Network Firewall	`AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
Amazon OpenSearch Service	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Simple Storage Service (Amazon S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
Service de notification simple d'Amazon (AmazonSNS)	`AWS::SNS::Topic`
Service de file d'attente Amazon Simple (AmazonSQS)	`AWS::SQS::Queue`
Amazon EC2 Systems Manager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::WebACL`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Config règles et contrôles de sécurité

Planification de l'exécution des vérifications de sécurité