Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Limites régionales relatives aux contrôles du Security Hub
La plupart des contrôles AWS Security Hub ne sont disponibles que dans certains cas Régions AWS. Cette page indique quels contrôles ne sont pas disponibles dans chaque région. Aucun contrôle n'apparaît dans la liste des contrôles de la console Security Hub s'il n'est pas disponible dans la région à laquelle vous êtes connecté. L'exception est si vous êtes connecté à une région d'agrégation. Dans ce cas, vous pouvez voir les contrôles disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
Table des matières
- USA Est (Virginie du Nord)
- USA Est (Ohio)
- USA Ouest (Californie du Nord)
- USA Ouest (Oregon)
- Afrique (Le Cap)
- Asie-Pacifique (Hong Kong)
- Asie-Pacifique (Jakarta)
- Asie-Pacifique (Hyderabad)
- Asie-Pacifique (Malaisie)
- Asie-Pacifique (Melbourne)
- Asie-Pacifique (Mumbai)
- Asie-Pacifique (Osaka)
- Asie-Pacifique (Séoul)
- Asie-Pacifique (Singapour)
- Asie-Pacifique (Sydney)
- Asie-Pacifique (Tokyo)
- Canada (Centre)
- Chine (Beijing)
- Chine (Ningxia)
- Europe (Francfort)
- Europe (Irlande)
- Europe (Londres)
- Europe (Milan)
- Europe (Paris)
- Europe (Espagne)
- Europe (Stockholm)
- Europe (Zurich)
- Israël (Tel Aviv)
- Moyen-Orient (Bahreïn)
- Moyen-Orient (UAE)
- Amérique du Sud (São Paulo)
- AWS GovCloud (USA Est)
- AWS GovCloud (US-Ouest)
USA Est (Virginie du Nord)
Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Virginie du Nord).
USA Est (Ohio)
Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Ohio).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Californie du Nord)
Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Californie du Nord).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Oregon)
Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Oregon).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Afrique (Le Cap)
Les contrôles suivants ne sont pas pris en charge en Afrique (Cape Town).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
Asie-Pacifique (Hong Kong)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hong Kong).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Jakarta)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Jakarta).
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.2] AWS Glue la journalisation des tâches doit être activée
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Hyderabad)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hyderabad).
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.115] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EMR
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Malaisie)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Malaisie).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation DataSync des tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour ECR API
-
[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry
-
[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager
-
[EC2.65] VPCs doit être configuré avec un point de terminaison d'interface pour Secrets Manager
-
[EC2.66] VPCs doit être configuré avec un point de terminaison d'interface pour Gateway API
-
[EC2.67] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.68] VPCs doit être configuré avec un point de terminaison d'interface pour AWS KMS
-
[EC2.69] VPCs doit être configuré avec un point de terminaison d'interface pour SQS
-
[EC2.70] VPCs doit être configuré avec un point de terminaison d'interface pour STS
-
[EC2.71] VPCs doit être configuré avec un point de terminaison d'interface pour SNS
-
[EC2.72] VPCs doit être configuré avec un point de terminaison d'interface pour S3
-
[EC2.73] VPCs doit être configuré avec un point de terminaison d'interface pour Lambda
-
[EC2.74] VPCs doit être configuré avec un point de terminaison d'interface pour ECS
-
[EC2.76] VPCs doit être configuré avec un point de terminaison d'interface pour CloudFormation
-
[EC2.77] VPCs doit être configuré avec un point de terminaison d'interface pour EventBridge
-
[EC2.78] VPCs doit être configuré avec un point de terminaison d'interface pour EC2 Auto Scaling
-
[EC2.79] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker l'IA API
-
[EC2.82] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Runtime
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.86] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Glue
-
[EC2.87] VPCs doit être configuré avec un point de terminaison d'interface pour Kinesis Data Streams
-
[EC2.89] VPCs doit être configuré avec un point de terminaison d'interface pour CloudTrail
-
[EC2.90] VPCs doit être configuré avec un point de terminaison d'interface pour RDS
-
[EC2.91] VPCs doit être configuré avec un point de terminaison d'interface pour ECS l'agent
-
[EC2.92] VPCs doit être configuré avec un point de terminaison d'interface pour ECS la télémétrie
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.95] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.96] VPCs doit être configuré avec un point de terminaison d'interface pour Athena
-
[EC2.97] VPCs doit être configuré avec un point de terminaison d'interface pour Firehose
-
[EC2.98] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.99] VPCs doit être configuré avec un point de terminaison d'interface pour Storage Gateway
-
[EC2.100] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon MWAA
-
[EC2.105] VPCs doit être configuré avec un point de terminaison d'interface pour DataSync
-
[EC2.106] VPCs doit être configuré avec un point de terminaison d'interface pour CodePipeline
-
[EC2.107] VPCs doit être configuré avec un point de terminaison d'interface pour EKS
-
[EC2.108] VPCs doit être configuré avec un point de terminaison d'interface pour direct EBS APIs
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.110] VPCs doit être configuré avec un point de terminaison d'interface pour X-Ray
-
[EC2.111] VPCs doit être configuré avec un point de terminaison d'interface pour CodeBuild
-
[EC2.112] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Config
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.114] VPCs doit être configuré avec un point de terminaison d'interface pour Service Catalog
-
[EC2.115] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EMR
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.119] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Private CA
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.131] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.132] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Backup
-
[EC2.133] VPCs doit être configuré avec un point de terminaison d'interface pour DMS
-
[EC2.134] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.143] VPCs doit être configuré avec un point de terminaison d'interface pour AWS MGN
-
[EC2.144] VPCs doit être configuré avec un point de terminaison d'interface pour Image Builder
-
[EC2.145] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.149] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EKS
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.153] VPCs doit être configuré avec un point de terminaison d'interface pour Lake Formation
-
[EC2.154] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon FSx
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[EC2.167] VPCs doit être configuré avec un point de terminaison d'interface pour DynamoDB
-
[EC2.168] VPCs doit être configuré avec un point de terminaison d'interface pour Access Analyzer
-
[EC2.171] la journalisation EC2 VPN des connexions doit être activée
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers
-
[EFS.8] les systèmes de EFS fichiers doivent être chiffrés au repos
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.2] AWS Glue la journalisation des tâches doit être activée
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance
-
[KMS.5] KMS les clés ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.18] RDS les instances doivent être déployées dans un VPC
-
[RDS.23] les RDS instances ne doivent pas utiliser le port par défaut du moteur de base de données
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SNS.4] les politiques d'accès aux SNS sujets ne devraient pas autoriser l'accès public
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir des CloudWatch métriques activées
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Melbourne)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Melbourne).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.111] VPCs doit être configuré avec un point de terminaison d'interface pour CodeBuild
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Mumbai)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Mumbai).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Asie-Pacifique (Osaka)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Osaka).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour ECR API
-
[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry
-
[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager
-
[EC2.65] VPCs doit être configuré avec un point de terminaison d'interface pour Secrets Manager
-
[EC2.66] VPCs doit être configuré avec un point de terminaison d'interface pour Gateway API
-
[EC2.67] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.68] VPCs doit être configuré avec un point de terminaison d'interface pour AWS KMS
-
[EC2.69] VPCs doit être configuré avec un point de terminaison d'interface pour SQS
-
[EC2.70] VPCs doit être configuré avec un point de terminaison d'interface pour STS
-
[EC2.71] VPCs doit être configuré avec un point de terminaison d'interface pour SNS
-
[EC2.72] VPCs doit être configuré avec un point de terminaison d'interface pour S3
-
[EC2.73] VPCs doit être configuré avec un point de terminaison d'interface pour Lambda
-
[EC2.74] VPCs doit être configuré avec un point de terminaison d'interface pour ECS
-
[EC2.76] VPCs doit être configuré avec un point de terminaison d'interface pour CloudFormation
-
[EC2.77] VPCs doit être configuré avec un point de terminaison d'interface pour EventBridge
-
[EC2.78] VPCs doit être configuré avec un point de terminaison d'interface pour EC2 Auto Scaling
-
[EC2.79] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker l'IA API
-
[EC2.82] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Runtime
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.86] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Glue
-
[EC2.87] VPCs doit être configuré avec un point de terminaison d'interface pour Kinesis Data Streams
-
[EC2.89] VPCs doit être configuré avec un point de terminaison d'interface pour CloudTrail
-
[EC2.90] VPCs doit être configuré avec un point de terminaison d'interface pour RDS
-
[EC2.91] VPCs doit être configuré avec un point de terminaison d'interface pour ECS l'agent
-
[EC2.92] VPCs doit être configuré avec un point de terminaison d'interface pour ECS la télémétrie
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.95] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.96] VPCs doit être configuré avec un point de terminaison d'interface pour Athena
-
[EC2.97] VPCs doit être configuré avec un point de terminaison d'interface pour Firehose
-
[EC2.98] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.99] VPCs doit être configuré avec un point de terminaison d'interface pour Storage Gateway
-
[EC2.100] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon MWAA
-
[EC2.105] VPCs doit être configuré avec un point de terminaison d'interface pour DataSync
-
[EC2.106] VPCs doit être configuré avec un point de terminaison d'interface pour CodePipeline
-
[EC2.107] VPCs doit être configuré avec un point de terminaison d'interface pour EKS
-
[EC2.108] VPCs doit être configuré avec un point de terminaison d'interface pour direct EBS APIs
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.110] VPCs doit être configuré avec un point de terminaison d'interface pour X-Ray
-
[EC2.111] VPCs doit être configuré avec un point de terminaison d'interface pour CodeBuild
-
[EC2.112] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Config
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.114] VPCs doit être configuré avec un point de terminaison d'interface pour Service Catalog
-
[EC2.115] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EMR
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.119] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Private CA
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.131] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.132] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Backup
-
[EC2.133] VPCs doit être configuré avec un point de terminaison d'interface pour DMS
-
[EC2.134] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.143] VPCs doit être configuré avec un point de terminaison d'interface pour AWS MGN
-
[EC2.144] VPCs doit être configuré avec un point de terminaison d'interface pour Image Builder
-
[EC2.145] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.149] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EKS
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.153] VPCs doit être configuré avec un point de terminaison d'interface pour Lake Formation
-
[EC2.154] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon FSx
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[EC2.167] VPCs doit être configuré avec un point de terminaison d'interface pour DynamoDB
-
[EC2.168] VPCs doit être configuré avec un point de terminaison d'interface pour Access Analyzer
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Séoul)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Séoul).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Asie-Pacifique (Singapour)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Singapour).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Asie-Pacifique (Sydney)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Sydney).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Asie-Pacifique (Tokyo)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Tokyo).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Canada (Centre)
Les contrôles suivants ne sont pas pris en charge au Canada (Centre).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Chine (Beijing)
Les contrôles suivants ne sont pas pris en charge en Chine (Pékin).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[EC2.89] VPCs doit être configuré avec un point de terminaison d'interface pour CloudTrail
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.106] VPCs doit être configuré avec un point de terminaison d'interface pour CodePipeline
-
[EC2.112] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Config
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.143] VPCs doit être configuré avec un point de terminaison d'interface pour AWS MGN
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.149] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EKS
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.168] VPCs doit être configuré avec un point de terminaison d'interface pour Access Analyzer
-
[EC2.171] la journalisation EC2 VPN des connexions doit être activée
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Chine (Ningxia)
Les contrôles suivants ne sont pas pris en charge en Chine (Ningxia).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[EC2.89] VPCs doit être configuré avec un point de terminaison d'interface pour CloudTrail
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.106] VPCs doit être configuré avec un point de terminaison d'interface pour CodePipeline
-
[EC2.112] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Config
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.143] VPCs doit être configuré avec un point de terminaison d'interface pour AWS MGN
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.149] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EKS
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.168] VPCs doit être configuré avec un point de terminaison d'interface pour Access Analyzer
-
[EC2.171] la journalisation EC2 VPN des connexions doit être activée
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
Europe (Francfort)
Les contrôles suivants ne sont pas pris en charge en Europe (Francfort).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Europe (Irlande)
Les contrôles suivants ne sont pas pris en charge en Europe (Irlande).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Europe (Londres)
Les contrôles suivants ne sont pas pris en charge en Europe (Londres).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
Europe (Milan)
Les contrôles suivants ne sont pas pris en charge en Europe (Milan).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Paris)
Les contrôles suivants ne sont pas pris en charge en Europe (Paris).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Espagne)
Les contrôles suivants ne sont pas pris en charge en Europe (Espagne).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Stockholm)
Les contrôles suivants ne sont pas pris en charge en Europe (Stockholm).
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Zurich)
Les contrôles suivants ne sont pas pris en charge en Europe (Zurich).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Israël (Tel Aviv)
Les contrôles suivants ne sont pas pris en charge en Israël (Tel Aviv).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[DataSync.1] la journalisation DataSync des tâches doit être activée
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour ECR API
-
[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry
-
[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager
-
[EC2.65] VPCs doit être configuré avec un point de terminaison d'interface pour Secrets Manager
-
[EC2.66] VPCs doit être configuré avec un point de terminaison d'interface pour Gateway API
-
[EC2.67] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.68] VPCs doit être configuré avec un point de terminaison d'interface pour AWS KMS
-
[EC2.69] VPCs doit être configuré avec un point de terminaison d'interface pour SQS
-
[EC2.70] VPCs doit être configuré avec un point de terminaison d'interface pour STS
-
[EC2.71] VPCs doit être configuré avec un point de terminaison d'interface pour SNS
-
[EC2.72] VPCs doit être configuré avec un point de terminaison d'interface pour S3
-
[EC2.73] VPCs doit être configuré avec un point de terminaison d'interface pour Lambda
-
[EC2.74] VPCs doit être configuré avec un point de terminaison d'interface pour ECS
-
[EC2.76] VPCs doit être configuré avec un point de terminaison d'interface pour CloudFormation
-
[EC2.77] VPCs doit être configuré avec un point de terminaison d'interface pour EventBridge
-
[EC2.78] VPCs doit être configuré avec un point de terminaison d'interface pour EC2 Auto Scaling
-
[EC2.79] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker l'IA API
-
[EC2.82] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Runtime
-
[EC2.85] VPCs doit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio
-
[EC2.86] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Glue
-
[EC2.87] VPCs doit être configuré avec un point de terminaison d'interface pour Kinesis Data Streams
-
[EC2.89] VPCs doit être configuré avec un point de terminaison d'interface pour CloudTrail
-
[EC2.90] VPCs doit être configuré avec un point de terminaison d'interface pour RDS
-
[EC2.91] VPCs doit être configuré avec un point de terminaison d'interface pour ECS l'agent
-
[EC2.92] VPCs doit être configuré avec un point de terminaison d'interface pour ECS la télémétrie
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.95] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.96] VPCs doit être configuré avec un point de terminaison d'interface pour Athena
-
[EC2.97] VPCs doit être configuré avec un point de terminaison d'interface pour Firehose
-
[EC2.98] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.99] VPCs doit être configuré avec un point de terminaison d'interface pour Storage Gateway
-
[EC2.100] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon MWAA
-
[EC2.105] VPCs doit être configuré avec un point de terminaison d'interface pour DataSync
-
[EC2.106] VPCs doit être configuré avec un point de terminaison d'interface pour CodePipeline
-
[EC2.107] VPCs doit être configuré avec un point de terminaison d'interface pour EKS
-
[EC2.108] VPCs doit être configuré avec un point de terminaison d'interface pour direct EBS APIs
-
[EC2.109] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.110] VPCs doit être configuré avec un point de terminaison d'interface pour X-Ray
-
[EC2.111] VPCs doit être configuré avec un point de terminaison d'interface pour CodeBuild
-
[EC2.112] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Config
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.114] VPCs doit être configuré avec un point de terminaison d'interface pour Service Catalog
-
[EC2.115] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EMR
-
[EC2.116] VPCs doit être configuré avec un point de terminaison d'interface pour CodeCommit
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.119] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Private CA
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.131] VPCs doit être configuré avec un point de terminaison d'interface pour EFS
-
[EC2.132] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Backup
-
[EC2.133] VPCs doit être configuré avec un point de terminaison d'interface pour DMS
-
[EC2.134] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.143] VPCs doit être configuré avec un point de terminaison d'interface pour AWS MGN
-
[EC2.144] VPCs doit être configuré avec un point de terminaison d'interface pour Image Builder
-
[EC2.145] VPCs doit être configuré avec un point de terminaison d'interface pour Step Functions
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.149] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon EKS
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.152] VPCs doit être configuré avec un point de terminaison d'interface pour Serverless EMR
-
[EC2.153] VPCs doit être configuré avec un point de terminaison d'interface pour Lake Formation
-
[EC2.154] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon FSx
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.160] VPCs doit être configuré avec un point de terminaison d'interface pour Cloud HSM
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[EC2.167] VPCs doit être configuré avec un point de terminaison d'interface pour DynamoDB
-
[EC2.168] VPCs doit être configuré avec un point de terminaison d'interface pour Access Analyzer
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers
-
[EFS.8] les systèmes de EFS fichiers doivent être chiffrés au repos
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
-
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Moyen-Orient (Bahreïn)
Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (Bahreïn).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Moyen-Orient (UAE)
Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (UAE).
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.94] VPCs doit être configuré avec un point de terminaison d'interface pour SES
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.118] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.120] VPCs doit être configuré avec un point de terminaison d'interface pour ElastiCache
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.123] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Redshift
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.137] VPCs doit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.142] VPCs doit être configuré avec un point de terminaison d'interface pour Keyspaces
-
[EC2.144] VPCs doit être configuré avec un point de terminaison d'interface pour Image Builder
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.148] VPCs doit être configuré avec un point de terminaison d'interface pour Batch
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.155] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon sur EMR EKS
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.164] VPCs doit être configuré avec un point de terminaison d'interface pour CloudWatch
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.166] VPCs doit être configuré avec un point de terminaison d'interface pour Security Hub
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
-
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
-
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Amérique du Sud (São Paulo)
Les contrôles suivants ne sont pas pris en charge en Amérique du Sud (São Paulo).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.141] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Textract
-
[EC2.146] VPCs doit être configuré avec un point de terminaison d'interface pour Auto Scaling
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
AWS GovCloud (USA Est)
Les contrôles suivants ne sont pas pris en charge dans AWS GovCloud (USA Est).
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.100] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon MWAA
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.119] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Private CA
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.134] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.147] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.150] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Comprehend
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.161] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Rekognition
-
[EC2.165] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon Bedrock
-
[EC2.167] VPCs doit être configuré avec un point de terminaison d'interface pour DynamoDB
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[KMS.5] KMS les clés ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[SNS.4] les politiques d'accès aux SNS sujets ne devraient pas autoriser l'accès public
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir des CloudWatch métriques activées
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
AWS GovCloud (US-Ouest)
Les contrôles suivants ne sont pas pris en charge dans AWS GovCloud l'ouest des États-Unis.
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.1] AWS AppSync API les caches doivent être chiffrés au repos
-
[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AppSync.6] les AWS AppSync API caches doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[EC2.93] VPCs doit être configuré avec un point de terminaison d'interface pour GuardDuty
-
[EC2.100] VPCs doit être configuré avec un point de terminaison d'interface pour Amazon MWAA
-
[EC2.113] VPCs doit être configuré avec un point de terminaison d'interface pour les données RDS API
-
[EC2.117] VPCs doit être configuré avec un point de terminaison d'interface pour App Mesh
-
[EC2.119] VPCs doit être configuré avec un point de terminaison d'interface pour AWS Private CA
-
[EC2.121] VPCs doit être configuré avec un point de terminaison d'interface pour CodeArtifact API
-
[EC2.124] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.128] VPCs doit être configuré avec un point de terminaison d'interface pour Query AMB
-
[EC2.129] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin
-
[EC2.130] VPCs doit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet
-
[EC2.134] VPCs doit être configuré avec un point de terminaison d'interface pour CodeDeploy
-
[EC2.151] VPCs doit être configuré avec un point de terminaison d'interface pour App Runner
-
[EC2.158] VPCs doit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub
-
[EC2.167] VPCs doit être configuré avec un point de terminaison d'interface pour DynamoDB
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[KMS.5] KMS les clés ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[SNS.4] les politiques d'accès aux SNS sujets ne devraient pas autoriser l'accès public
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir des CloudWatch métriques activées