Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôles suggérés à désactiver dans Security Hub CSPM
<a name="controls-to-disable"></a>

Nous vous recommandons de désactiver certains contrôles CSPM du AWS Security Hub afin de réduire le bruit lié à la recherche et les coûts d'utilisation.

## Contrôles utilisant des ressources globales
<a name="controls-to-disable-global-resources"></a>

Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub CSPM continue d'effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût du Security Hub CSPM, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.

Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :
+ **Toutes les CloudFront commandes** — Disponible uniquement dans la région de l'est des États-Unis (Virginie du Nord)
+ **GlobalAccelerator.1** — Disponible uniquement dans la région de l'ouest des États-Unis (Oregon)
+ **Route 53.2** — Disponible uniquement dans la région de l'Est des États-Unis (Virginie du Nord)
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Disponible uniquement dans la région USA Est (Virginie du Nord)

**Note**  
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.  
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.  
Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Pour les contrôles dotés d'un type de calendrier *périodique*, il est nécessaire de les désactiver dans Security Hub CSPM pour empêcher la facturation. La définition du AWS Config paramètre `includeGlobalResourceTypes` sur `false` n'a aucune incidence sur les contrôles périodiques du Security Hub CSPM.

Les contrôles CSPM du Security Hub suivants utilisent des ressources globales :
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)

## CloudTrail contrôles de journalisation
<a name="controls-to-disable-cloudtrail-logging"></a>

Le contrôle [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) évalue l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de suivi AWS CloudTrail . Si vous enregistrez ces traces dans un compte de journalisation centralisé, vous devez activer ce contrôle uniquement dans le compte et dans l'endroit Région AWS où la journalisation centralisée a lieu.

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, vous pouvez supprimer les résultats de la commande CloudTrail .2 afin de réduire le bruit de recherche.

## CloudWatch commandes d'alarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver les commandes suivantes, qui se concentrent sur les CloudWatch alarmes :
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)