Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Limites régionales relatives aux contrôles CSPM du Security Hub
<a name="regions-controls"></a>

Certains contrôles CSPM du AWS Security Hub ne sont pas tous disponibles. Régions AWS Cette page indique les contrôles qui ne sont pas disponibles dans des régions spécifiques.

Sur la console Security Hub CSPM, aucun contrôle n'apparaît dans la liste des contrôles s'il n'est pas disponible dans la région à laquelle vous êtes actuellement connecté. L'exception est une région d'agrégation. Si vous définissez une région d'agrégation et que vous vous connectez à cette région, la console affiche les commandes disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.

**Topics**
+ [USA Est (Virginie du Nord)](#securityhub-control-support-useast1)
+ [USA Est (Ohio)](#securityhub-control-support-useast2)
+ [USA Ouest (Californie du Nord)](#securityhub-control-support-uswest1)
+ [USA Ouest (Oregon)](#securityhub-control-support-uswest2)
+ [Afrique (Le Cap)](#securityhub-control-support-afsouth1)
+ [Asie-Pacifique (Hong Kong)](#securityhub-control-support-apeast1)
+ [Asie-Pacifique (Hyderabad)](#securityhub-control-support-apsouth2)
+ [Asie-Pacifique (Jakarta)](#securityhub-control-support-apsoutheast3)
+ [Asie-Pacifique (Malaisie)](#securityhub-control-support-apsoutheast5)
+ [Asie-Pacifique (Melbourne)](#securityhub-control-support-apsoutheast4)
+ [Asie-Pacifique (Mumbai)](#securityhub-control-support-apsouth1)
+ [Asie-Pacifique (Nouvelle Zélande)](#securityhub-control-support-apsoutheast6)
+ [Asie-Pacifique (Osaka)](#securityhub-control-support-apnortheast3)
+ [Asie-Pacifique (Séoul)](#securityhub-control-support-apnortheast2)
+ [Asie-Pacifique (Singapour)](#securityhub-control-support-apsoutheast1)
+ [Asie-Pacifique (Sydney)](#securityhub-control-support-apsoutheast2)
+ [Asie-Pacifique (Taipei)](#securityhub-control-support-apeast2)
+ [Asie-Pacifique (Thaïlande)](#securityhub-control-support-apsoutheast7)
+ [Asie-Pacifique (Tokyo)](#securityhub-control-support-apnortheast1)
+ [Canada (Centre)](#securityhub-control-support-cacentral1)
+ [Canada-Ouest (Calgary)](#securityhub-control-support-cawest1)
+ [Chine (Pékin)](#securityhub-control-support-cnnorth1)
+ [Chine (Ningxia)](#securityhub-control-support-cnnorthwest1)
+ [Europe (Francfort)](#securityhub-control-support-eucentral1)
+ [Europe (Irlande)](#securityhub-control-support-euwest1)
+ [Europe (Londres)](#securityhub-control-support-euwest2)
+ [Europe (Milan)](#securityhub-control-support-eusouth1)
+ [Europe (Paris)](#securityhub-control-support-euwest3)
+ [Europe (Espagne)](#securityhub-control-support-eusouth2)
+ [Europe (Stockholm)](#securityhub-control-support-eunorth1)
+ [Europe (Zurich)](#securityhub-control-support-eucentral2)
+ [Israël (Tel Aviv)](#securityhub-control-support-ilcentral1)
+ [Mexique (Centre)](#securityhub-control-support-mxcentral1)
+ [Middle East (Bahrain)](#securityhub-control-support-mesouth1)
+ [Moyen-Orient (EAU)](#securityhub-control-support-mecentral1)
+ [Amérique du Sud (São Paulo)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (USA Est)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (US-Ouest)](#securityhub-control-support-usgovwest1)

## USA Est (Virginie du Nord)
<a name="securityhub-control-support-useast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de l'Est des États-Unis (Virginie du Nord).
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 

## USA Est (Ohio)
<a name="securityhub-control-support-useast2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région USA Est (Ohio).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## USA Ouest (Californie du Nord)
<a name="securityhub-control-support-uswest1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Californie du Nord).
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## USA Ouest (Oregon)
<a name="securityhub-control-support-uswest2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Oregon).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Afrique (Le Cap)
<a name="securityhub-control-support-afsouth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Afrique (Le Cap).
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Asie-Pacifique (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hong Kong).
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hyderabad).
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Jakarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Jakarta).
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Malaisie)
<a name="securityhub-control-support-apsoutheast5"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Malaisie).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Melbourne).
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Mumbai).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Asie-Pacifique (Nouvelle Zélande)
<a name="securityhub-control-support-apsoutheast6"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Nouvelle Zélande).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2) 
+  [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 
+  [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3) 
+  [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Osaka).
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Séoul)
<a name="securityhub-control-support-apnortheast2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Séoul).
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Asie-Pacifique (Singapour)
<a name="securityhub-control-support-apsoutheast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Singapour).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Asie-Pacifique (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Sydney).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Asie-Pacifique (Taipei)
<a name="securityhub-control-support-apeast2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Taipei).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[ACM.3] Les certificats ACM doivent être balisés](acm-controls.md#acm-3) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2) 
+  [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2) 
+  [Les AWS Backup coffres-forts [Backup.3] doivent être balisés](backup-controls.md#backup-3) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Backup.5] les plans de AWS Backup sauvegarde doivent être balisés](backup-controls.md#backup-5) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.2] les CloudFormation piles doivent être étiquetées](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] les CloudTrail sentiers doivent être balisés](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] Les tables DynamoDB doivent être balisées](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-33) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.35] Les interfaces réseau EC2 doivent être étiquetées](ec2-controls.md#ec2-35) 
+  [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36) 
+  [[EC2.37] Les adresses IP élastiques EC2 doivent être balisées](ec2-controls.md#ec2-37) 
+  [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38) 
+  [[EC2.39] Les passerelles Internet EC2 doivent être étiquetées](ec2-controls.md#ec2-39) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.41] Le réseau EC2 doit être étiqueté ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] Les tables de routage EC2 doivent être étiquetées](ec2-controls.md#ec2-42) 
+  [[EC2.43] Les groupes de sécurité EC2 doivent être balisés](ec2-controls.md#ec2-43) 
+  [[EC2.44] Les sous-réseaux EC2 doivent être balisés](ec2-controls.md#ec2-44) 
+  [[EC2.45] Les volumes EC2 doivent être balisés](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs doit être tagué](ec2-controls.md#ec2-46) 
+  [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47) 
+  [[EC2.48] Les journaux de flux Amazon VPC doivent être balisés](ec2-controls.md#ec2-48) 
+  [[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées](ec2-controls.md#ec2-49) 
+  [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1) 
+  [[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] Les services ECS doivent être balisés](ecs-controls.md#ecs-13) 
+  [[ECS.14] Les clusters ECS doivent être balisés](ecs-controls.md#ecs-14) 
+  [[ECS.15] Les définitions de tâches ECS doivent être étiquetées](ecs-controls.md#ecs-15) 
+  [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 
+  [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.5] Les points d'accès EFS doivent être étiquetés](efs-controls.md#efs-5) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.6] Les clusters EKS doivent être étiquetés](eks-controls.md#eks-6) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7) 
+  [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1) 
+  [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) 
+  [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5) 
+  [[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6) 
+  [[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7) 
+  [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8) 
+  [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9) 
+  [[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Les flux Kinesis doivent être balisés](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) 
+  [[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20) 
+  [[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21) 
+  [[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22) 
+  [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28) 
+  [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29) 
+  [[RDS.30] Les instances de base de données RDS doivent être étiquetées](rds-controls.md#rds-30) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.32] Les instantanés de base de données RDS doivent être balisés](rds-controls.md#rds-32) 
+  [[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés](rds-controls.md#rds-33) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3) 
+  [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Les sujets SNS doivent être balisés](sns-controls.md#sns-3) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2) 
+  [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Thaïlande)
<a name="securityhub-control-support-apsoutheast7"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Thaïlande).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2) 
+  [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 
+  [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Asie-Pacifique (Tokyo)
<a name="securityhub-control-support-apnortheast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Tokyo).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Canada (Centre)
<a name="securityhub-control-support-cacentral1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région du Canada (Centre).
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Canada-Ouest (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de l'Ouest du Canada (Calgary).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Chine (Pékin)
<a name="securityhub-control-support-cnnorth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Pékin).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7) 
+  [[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) 
+  [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Chine (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Ningxia).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36) 
+  [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Europe (Francfort)
<a name="securityhub-control-support-eucentral1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Francfort).
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Europe (Irlande)
<a name="securityhub-control-support-euwest1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Irlande).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Europe (Londres)
<a name="securityhub-control-support-euwest2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Londres).
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## Europe (Milan)
<a name="securityhub-control-support-eusouth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Milan).
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Europe (Paris)
<a name="securityhub-control-support-euwest3"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Paris).
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Europe (Espagne)
<a name="securityhub-control-support-eusouth2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Espagne).
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Europe (Stockholm)
<a name="securityhub-control-support-eunorth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Stockholm).
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Europe (Zurich)
<a name="securityhub-control-support-eucentral2"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Europe (Zurich).
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Israël (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région d'Israël (Tel Aviv).
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Mexique (Centre)
<a name="securityhub-control-support-mxcentral1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région du Mexique (centre).
+  [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34) 
+  [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) 
+  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 
+  [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 
+  [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 
+  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 
+  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 
+  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 
+  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 
+  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 
+  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 
+  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 
+  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4) 
+  [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5) 
+  [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38) 
+  [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3) 
+  [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22) 
+  [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Middle East (Bahrain)
<a name="securityhub-control-support-mesouth1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (Bahreïn).
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Moyen-Orient (EAU)
<a name="securityhub-control-support-mecentral1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (EAU).
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3) 
+  [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4) 
+  [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## Amérique du Sud (São Paulo)
<a name="securityhub-control-support-saeast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région Amérique du Sud (São Paulo).
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) 
+  [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2) 
+  [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

## AWS GovCloud (USA Est)
<a name="securityhub-control-support-usgoveast1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région AWS GovCloud (USA Est).
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47) 
+  [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1) 
+  [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (US-Ouest)
<a name="securityhub-control-support-usgovwest1"></a>

Les contrôles suivants ne sont pas pris en charge dans la région AWS GovCloud (ouest des États-Unis).
+  [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 
+  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 
+  [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1) 
+  [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4) 
+  [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1) 
+  [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2) 
+  [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3) 
+  [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 
+  [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 
+  [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 
+  [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2) 
+  [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 
+  [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174) 
+  [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175) 
+  [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176) 
+  [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177) 
+  [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178) 
+  [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179) 
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 
+  [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24) 
+  [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25) 
+  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) 
+  [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1) 
+  [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2) 
+  [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 
+  [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 
+  [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 
+  [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 
+  [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1) 
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 
+  [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 
+  [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 
+  [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)