Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Référence aux normes pour Security Hub CSPM
<a name="standards-reference"></a>

Dans AWS Security Hub CSPM, une *norme de sécurité* est un ensemble d'exigences basées sur des cadres réglementaires, les meilleures pratiques du secteur ou les politiques de l'entreprise. Security Hub CSPM associe ces exigences aux contrôles et effectue des contrôles de sécurité sur les contrôles pour évaluer si les exigences d'une norme sont respectées. Chaque norme inclut plusieurs commandes.

Security Hub CSPM prend actuellement en charge les normes suivantes :
+ **AWS Bonnes pratiques fondamentales en matière de sécurité** — Élaborée par AWS des professionnels du secteur, cette norme est une compilation des meilleures pratiques de sécurité destinées aux organisations, quels que soient leur secteur ou leur taille. Il fournit un ensemble de contrôles qui détectent les cas où vous Comptes AWS et vos ressources dérogerez aux meilleures pratiques de sécurité. Il fournit également des conseils prescriptifs sur la manière d'améliorer et de maintenir votre posture de sécurité.
+ **AWS Balisage des ressources** — Développée par Security Hub CSPM, cette norme peut vous aider à déterminer si vos AWS ressources comportent des balises. Une *balise* est une paire clé-valeur qui fait office de métadonnées pour une AWS ressource. Les balises peuvent vous aider à identifier, à classer, à gérer et à rechercher AWS des ressources. Par exemple, vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire ou environnement.
+ **CIS AWS Foundations Benchmark** — Développée par le Center for Internet Security (CIS), cette norme fournit des directives de configuration sécurisées pour AWS. Il définit un ensemble de directives de configuration de sécurité et de meilleures pratiques pour un sous-ensemble de Services AWS ressources, en mettant l'accent sur les paramètres fondamentaux, testables et indépendants de l'architecture. Les directives incluent des procédures claires de step-by-step mise en œuvre et d'évaluation.
+ **NIST SP 800-53 Revision 5** — Cette norme est conforme aux exigences du National Institute of Standards and Technology (NIST) en matière de protection de la confidentialité, de l'intégrité et de la disponibilité des systèmes d'information et des ressources critiques. Le cadre associé s'applique généralement aux agences fédérales américaines ou aux organisations qui travaillent avec des agences fédérales ou des systèmes d'information américains. Cependant, les organisations privées peuvent également utiliser les exigences comme cadre directeur.
+ **NIST SP 800-171 Revision 2** — Cette norme est conforme aux recommandations de sécurité et aux exigences du NIST pour protéger la confidentialité des informations contrôlées non classifiées (CUI) dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. *Les CUI* sont des informations qui ne répondent pas aux critères gouvernementaux de classification, mais qui sont considérées comme sensibles et qui sont créées ou détenues par le gouvernement fédéral américain ou par d'autres entités pour le compte du gouvernement fédéral américain.
+ **PCI DSS** — Cette norme s'aligne sur le cadre de conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) défini par le PCI Security Standards Council (SSC). Le cadre fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le cadre s'applique généralement aux organisations qui stockent, traitent ou transmettent les données des titulaires de cartes.
+ **Norme gérée par les services, AWS Control Tower** — Cette norme vous aide à configurer les contrôles de détection fournis par Security Hub CSPM à partir de. AWS Control Tower AWS Control Tower propose un moyen simple de configurer et de gérer un environnement AWS multi-comptes, en suivant les meilleures pratiques prescriptives.

Les normes et contrôles CSPM du Security Hub ne garantissent pas la conformité aux cadres réglementaires ou aux audits. Ils fournissent plutôt un moyen d'évaluer et de surveiller votre état Comptes AWS et celui de vos ressources. Nous vous recommandons d'activer chaque norme adaptée aux besoins de votre entreprise, à votre secteur d'activité ou à votre cas d'utilisation.

Les contrôles individuels peuvent s'appliquer à plusieurs normes. Si vous activez plusieurs normes, nous vous recommandons d'activer également les résultats de contrôle consolidés. Dans ce cas, Security Hub CSPM génère un résultat unique pour chaque contrôle, même si le contrôle s'applique à plusieurs normes. Si vous n'activez pas les résultats de contrôle consolidés, Security Hub CSPM génère un résultat distinct pour chaque norme activée à laquelle s'applique un contrôle. Par exemple, si vous activez deux normes et qu'un contrôle s'applique aux deux, vous recevez deux résultats distincts pour le contrôle, un pour chaque norme. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat pour le contrôle. Pour de plus amples informations, veuillez consulter [Conclusions de contrôle consolidées](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Bonnes pratiques de sécurité fondamentales](fsbp-standard.md)
+ [AWS Marquage des ressources](standards-tagging.md)
+ [Indice de référence AWS des fondations du CIS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Révision 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Révision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Normes relatives à la gestion des services](service-managed-standards.md)

# AWS Norme relative aux meilleures pratiques de sécurité fondamentales dans Security Hub CSPM
<a name="fsbp-standard"></a>

Développée par AWS des professionnels du secteur, la norme AWS Foundational Security Best Practices (FSBP) est une compilation des meilleures pratiques de sécurité destinées aux entreprises, quels que soient leur secteur ou leur taille. Il fournit un ensemble de contrôles qui détectent quand Comptes AWS et quand les ressources s'écartent des meilleures pratiques de sécurité. Il fournit également des conseils prescriptifs sur la manière d'améliorer et de maintenir le niveau de sécurité de votre organisation.

Dans AWS Security Hub CSPM, la norme des meilleures pratiques de sécurité AWS fondamentales inclut des contrôles qui évaluent en permanence votre charge de travail Comptes AWS et vous aident à identifier les domaines qui s'écartent des meilleures pratiques en matière de sécurité. Les contrôles incluent les meilleures pratiques de sécurité pour les ressources provenant de plusieurs sources Services AWS. Chaque contrôle se voit attribuer une catégorie qui reflète la fonction de sécurité à laquelle le contrôle s'applique. Pour obtenir la liste des catégories et des informations supplémentaires, consultez[Catégories de contrôle](control-categories.md).

## Contrôles applicables à la norme
<a name="fsbp-controls"></a>

La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Foundational Security Best Practices (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.

 [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) 

 [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1) 

 [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2) 

 [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) 

 [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4) 

 [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 

 [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 

 [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2) 

 [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3) 

 [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4) 

 [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) 

 [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2) 

 [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1) 

 [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1) 

 [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 

 [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 

 [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 

 [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 

 [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 

 [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 

 [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 

 [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13) 

 [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1) 

 [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) 

 [[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos](ec2-controls.md#ec2-3) 

 [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 

 [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7) 

 [[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15) 

 [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16) 

 [[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18) 

 [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19) 

 [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20) 

 [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 

 [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 

 [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171) 

 [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) 

 [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181) 

 [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182) 

 [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 

 [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 

 [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 

 [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1) 

 [[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2) 

 [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 

 [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 

 [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 

 [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 

 [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 

 [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16) 

 [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19) 

 [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 

 [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 

 [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 

 [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 

 [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7) 

 [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) 

 [[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1) 

 [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 

 [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 

 [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 

 [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4) 

 [[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée](elb-controls.md#elb-5) 

 [[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6) 

 [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7) 

 [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-9) 

 [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 

 [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 

 [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 

 [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 

 [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18) 

 [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21) 

 [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22) 

 [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 

 [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 

 [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 

 [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 

 [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1) 

 [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) 

 [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 

 [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 

 [[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5) 

 [[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6) 

 [[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7) 

 [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8) 

 [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3) 

 [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 

 [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 

 [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 

 [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 

 [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 

 [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 

 [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 

 [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 

 [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 

 [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1) 

 [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2) 

 [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3) 

 [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 

 [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 

 [[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3) 

 [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5) 

 [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) 

 [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) 

 [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 

 [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 

 [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3) 

 [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 

 [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3) 

 [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4) 

 [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5) 

 [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6) 

 [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 

 [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 

 [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 

 [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 

 [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 

 [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 

 [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 

 [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 

 [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 

 [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 

 [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 

 [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 

 [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 

 [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 

 [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 

 [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3) 

 [[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4) 

 [[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5) 

 [[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS](rds-controls.md#rds-6) 

 [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7) 

 [[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8) 

 [[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] L'authentification IAM doit être configurée pour les instances RDS](rds-controls.md#rds-10) 

 [[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11) 

 [[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12) 

 [[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13) 

 [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 

 [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) 

 [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) 

 [[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17) 

 [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19) 

 [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20) 

 [[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21) 

 [[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22) 

 [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23) 

 [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 

 [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 

 [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 

 [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 

 [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41) 

 [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43) 

 [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44) 

 [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 

 [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46) 

 [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47) 

 [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48) 

 [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) 

 [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 

 [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2) 

 [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3) 

 [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6) 

 [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 

 [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 

 [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 

 [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15) 

 [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) 

 [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) 

 [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) 

 [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) 

 [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) 

 [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) 

 [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9) 

 [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 

 [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 

 [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 

 [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24) 

 [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25) 

 [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3) 

 [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) 

 [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 

 [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) 

 [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 

 [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 

 [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 

 [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 

 [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 

 [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 

 [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 

 [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 

 [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 

 [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 

 [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 

 [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 

 [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2) 

# AWS Norme de balisage des ressources dans Security Hub CSPM
<a name="standards-tagging"></a>

La norme AWS Resource Tagging, développée par AWS Security Hub CSPM, vous aide à déterminer si des balises sont manquantes dans vos AWS ressources. Les *balises* sont des paires clé-valeur qui servent de métadonnées pour organiser AWS les ressources. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises à une ressource lors de sa création ou après sa création. Les exemples de ressources incluent les CloudFront distributions Amazon, les instances Amazon Elastic Compute Cloud (Amazon EC2) et les secrets in. AWS Secrets Manager Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les AWS ressources.

Chaque balise se compose de deux parties :
+ Une clé de balise, par exemple `CostCenter``Environment`, ou. `Project` Les touches de tag distinguent les majuscules et minuscules.
+ Une valeur de balise, par exemple, `111122223333` ou. `Production` Les valeurs de balise sont sensibles à la casse, tout comme les clés de balise.

Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour plus d'informations sur l'ajout de balises aux AWS ressources, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Pour chaque contrôle qui s'applique à la norme AWS Resource Tagging dans Security Hub CSPM, vous pouvez éventuellement utiliser le paramètre pris en charge pour spécifier les clés de balise que vous souhaitez que le contrôle vérifie. Si vous ne spécifiez aucune clé de balise, le contrôle vérifie uniquement l'existence d'au moins une clé de balise et échoue si une ressource n'en possède aucune.

Avant d'activer la norme de balisage AWS des ressources, il est important d'activer et de configurer l'enregistrement des ressources dans AWS Config. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour plus d'informations, y compris une liste des types de ressources à enregistrer, consultez[ AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md).

Après avoir activé la norme de balisage AWS des ressources, vous commencez à recevoir les résultats des contrôles qui s'appliquent à la norme. Notez que Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles qui s'appliquent à d'autres normes activées. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).

La norme de balisage AWS des ressources utilise le nom de ressource Amazon (ARN) suivant :`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, où se *region* trouve le code de région correspondant à la ressource applicable Région AWS. Vous pouvez également utiliser le [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour récupérer l'ARN d'une norme actuellement activée.

**Note**  
La [norme de balisage des AWS ressources](#standards-tagging) n'est pas disponible dans les régions Asie-Pacifique (Nouvelle Zélande) et Asie-Pacifique (Taipei).

## Contrôles applicables à la norme
<a name="tagging-standard-controls"></a>

La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Resource Tagging (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
+ [[ACM.3] Les certificats ACM doivent être balisés](acm-controls.md#acm-3)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [Les AWS Backup coffres-forts [Backup.3] doivent être balisés](backup-controls.md#backup-3)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Backup.5] les plans de AWS Backup sauvegarde doivent être balisés](backup-controls.md#backup-5)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.2] les CloudFormation piles doivent être étiquetées](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] les CloudTrail sentiers doivent être balisés](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DynamoDB.5] Les tables DynamoDB doivent être balisées](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-33)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.35] Les interfaces réseau EC2 doivent être étiquetées](ec2-controls.md#ec2-35)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.37] Les adresses IP élastiques EC2 doivent être balisées](ec2-controls.md#ec2-37)
+ [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38)
+ [[EC2.39] Les passerelles Internet EC2 doivent être étiquetées](ec2-controls.md#ec2-39)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.41] Le réseau EC2 doit être étiqueté ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Les tables de routage EC2 doivent être étiquetées](ec2-controls.md#ec2-42)
+ [[EC2.43] Les groupes de sécurité EC2 doivent être balisés](ec2-controls.md#ec2-43)
+ [[EC2.44] Les sous-réseaux EC2 doivent être balisés](ec2-controls.md#ec2-44)
+ [[EC2.45] Les volumes EC2 doivent être balisés](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs doit être tagué](ec2-controls.md#ec2-46)
+ [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47)
+ [[EC2.48] Les journaux de flux Amazon VPC doivent être balisés](ec2-controls.md#ec2-48)
+ [[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées](ec2-controls.md#ec2-49)
+ [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50)
+ [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECS.13] Les services ECS doivent être balisés](ecs-controls.md#ecs-13)
+ [[ECS.14] Les clusters ECS doivent être balisés](ecs-controls.md#ecs-14)
+ [[ECS.15] Les définitions de tâches ECS doivent être étiquetées](ecs-controls.md#ecs-15)
+ [[EFS.5] Les points d'accès EFS doivent être étiquetés](efs-controls.md#efs-5)
+ [[EKS.6] Les clusters EKS doivent être étiquetés](eks-controls.md#eks-6)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Les flux Kinesis doivent être balisés](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées](networkfirewall-controls.md#networkfirewall-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28)
+ [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29)
+ [[RDS.30] Les instances de base de données RDS doivent être étiquetées](rds-controls.md#rds-30)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.32] Les instantanés de base de données RDS doivent être balisés](rds-controls.md#rds-32)
+ [[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés](rds-controls.md#rds-33)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés](redshift-controls.md#redshift-12)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés](redshift-controls.md#redshift-14)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SNS.3] Les sujets SNS doivent être balisés](sns-controls.md#sns-3)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)

# La référence de CIS AWS Foundations en matière de Security Hub (CSPM)
<a name="cis-aws-foundations-benchmark"></a>

Le test de AWS base du Center for Internet Security (CIS) sert d'ensemble de meilleures pratiques de configuration de sécurité pour AWS. Ces meilleures pratiques reconnues par l'industrie vous fournissent des procédures claires de step-by-step mise en œuvre et d'évaluation. Qu'il s'agisse de systèmes d'exploitation, de services cloud ou d'appareils réseau, les contrôles de ce benchmark vous aident à protéger les systèmes spécifiques utilisés par votre entreprise. 

AWS Security Hub CSPM prend en charge les versions 5.0.0, 3.0.0, 1.4.0 et 1.2.0 de CIS AWS Foundations Benchmark. Cette page répertorie les contrôles de sécurité pris en charge par chaque version. Il fournit également une comparaison des versions.

## Version de référence 5.0.0 de CIS AWS Foundations
<a name="cis5v0-standard"></a>

Security Hub CSPM prend en charge la version 5.0.0 (v5.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants : 
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v5.0.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v5.0.0, niveau 2

### Contrôles applicables à la version 5.0.0 de CIS AWS Foundations Benchmark
<a name="cis5v0-controls"></a>

[[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)

[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)

[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)

[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)

[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)

[[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)

[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)

[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)

[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)

[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)

[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)

[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)

[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)

[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)

[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)

[[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)

[[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)

[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)

[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)

[[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5)

[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)

[[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)

[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)

[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)

[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)

[[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)

[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)

[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)

## Version de référence 3.0.0 de CIS AWS Foundations
<a name="cis3v0-standard"></a>

Security Hub CSPM prend en charge la version 3.0.0 (v3.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants : 
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v3.0.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v3.0.0, niveau 2

### Contrôles applicables à la version 3.0.0 de CIS AWS Foundations Benchmark
<a name="cis3v0-controls"></a>

[[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)

[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)

[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)

[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)

[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)

[[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)

[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)

[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)

[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)

[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)

[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)

[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)

[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)

[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)

[[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)

[[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)

[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)

[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)

[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)

[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)

[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)

[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)

[[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)

[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)

[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)

## Version de référence 1.4.0 de CIS AWS Foundations
<a name="cis1v4-standard"></a>

Security Hub CSPM prend en charge la version 1.4.0 (v1.4.0) du CIS Foundations Benchmark. AWS 

### Contrôles applicables à la version 1.4.0 de CIS AWS Foundations Benchmark
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) 

 [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) 

 [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7) 

 [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 

 [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 

 [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 

 [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 

 [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 

 [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 

 [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 

 [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 

 [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) 

 [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) 

 [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3) 

 [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) 

 [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) 

 [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) 

 [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 

## Version de référence 1.2.0 de CIS AWS Foundations
<a name="cis1v2-standard"></a>

Security Hub CSPM prend en charge la version 1.2.0 (v1.2.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants : 
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 2

### Contrôles applicables à la version 1.2.0 de CIS AWS Foundations Benchmark
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) 

 [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) 

 [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 

 [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 

 [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 

 [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 

 [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 

 [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 

 [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 

 [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 

 [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) 

 [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) 

 [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) 

 [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) 

 [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) 

 [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) 

 [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) 

 [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) 

 [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) 

## Comparaison des versions pour CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

Cette section résume les différences entre les versions spécifiques du Center for Internet Security (CIS) AWS Foundations Benchmark : v5.0.0, v3.0.0, v1.4.0 et v1.2.0. AWS Security Hub CSPM prend en charge chacune de ces versions du CIS AWS Foundations Benchmark. Toutefois, nous vous recommandons d'utiliser la version 5.0.0 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer plusieurs versions des normes de référence de CIS AWS Foundations en même temps. Pour plus d'informations sur les normes habilitantes, voir[Mise en place d'une norme de sécurité](enable-standards.md). Si vous souhaitez passer à la version 5.0.0, activez-la avant de désactiver une ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. [Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 5.0.0 sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée.](central-configuration-intro.md)

### Mise en correspondance des contrôles avec les exigences du CIS dans chaque version
<a name="cis-version-comparison"></a>

Découvrez les contrôles pris en charge par chaque version du CIS AWS Foundations Benchmark.


| ID et titre du contrôle | Exigence CIS v5.0.0 | Exigence CIS v3.0.0 | Exigence CIS v1.4.0 | Exigence CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1,18  | 
|  [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)  |  3,5  |  3,5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  3.4  |  2,4  | 
|  [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  3.1  | 
|  [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  3.2  | 
|  [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,4  |  3.4  | 
|  [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,5  |  3,5  | 
|  [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,7  |  3.7  | 
|  [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,9  |  3.9  | 
|  [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,10  |  3,10  | 
|  [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,11  |  3,11  | 
|  [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,12  |  3,12  | 
|  [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,13  |  3.13  | 
|  [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  4,14  |  3,14  | 
|  [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)  |  3.3  |  3.3  |  3,5  |  2,5  | 
|  [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Non pris en charge  | 
|  [[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Non pris en charge  |  Non pris en charge  | 
|  [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)  |  Non pris en charge — remplacé par les exigences 5.3 et 5.4  |  Non pris en charge — remplacé par les exigences 5.2 et 5.3  |  Non pris en charge — remplacé par les exigences 5.2 et 5.3  |  4.1  | 
|  [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)  |  Non pris en charge — remplacé par les exigences 5.3 et 5.4  |  Non pris en charge — remplacé par les exigences 5.2 et 5.3  |  Non pris en charge — remplacé par les exigences 5.2 et 5.3  |  4.2  | 
|  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Non pris en charge  | 
|  [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Non pris en charge  |  Non pris en charge  | 
|  [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Non pris en charge  |  Non pris en charge  | 
|  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Non pris en charge  |  Non pris en charge  | 
|  [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)  |  2.3.1  |  Non pris en charge  |  Non pris en charge  |  Non pris en charge  | 
|  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)  |  Non pris en charge   |  Non pris en charge   |  1.16  |  1,22  | 
|  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Non pris en charge  |  1.16  | 
|  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)  |  Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt  |  Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt  |  Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt  |  1.3  | 
|  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1.5  | 
|  [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1.6  | 
|  [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1,7  | 
|  [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1.8  | 
|  [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1.11  | 
|  [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Évitez d'utiliser l'utilisateur root](iam-controls.md#iam-20)  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  Non pris en charge — CIS a supprimé cette exigence  |  1.1  | 
|  [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)  |  1,18  |  1,19  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1,21  |  1,22  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)  |  1,19  |  1,20  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2,8  | 
|  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  |  Non pris en charge — vérification manuelle  | 
|  [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5)  |  2.2.4  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)  |  2.2.4  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 
|  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures  | 

### ARNs pour CIS AWS Foundations Benchmarks
<a name="cisv1.4.0-finding-fields"></a>

Lorsque vous activez une ou plusieurs versions du CIS AWS Foundations Benchmark, vous commencez à recevoir les résultats au format ASFF ( AWS Security Finding Format). Dans ASFF, chaque version utilise le nom de ressource Amazon (ARN) suivant :

**Benchmark CIS AWS Foundations v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark CIS AWS Foundations v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark CIS AWS Foundations v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark CIS AWS Foundations v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Vous pouvez utiliser le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour trouver l'ARN d'une norme activée.

Les valeurs précédentes sont pour`StandardsArn`. Toutefois, `StandardsSubscriptionArn` fait référence à la ressource d'abonnement standard créée par Security Hub CSPM lorsque vous vous abonnez à une norme [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)en appelant dans une région.

**Note**  
Lorsque vous activez une version du CIS AWS Foundations Benchmark, Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles activés dans d'autres normes activées. Pour plus d'informations sur le calendrier de génération des résultats de contrôle, consultez[Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).

Les champs de recherche diffèrent si vous activez les résultats de contrôle consolidés. Pour plus d'informations sur ces différences, consultez[Impact de la consolidation sur les domaines et les valeurs d'ASFF](asff-changes-consolidation.md). Pour les résultats du contrôle des échantillons, voir[Échantillons de résultats de contrôle](sample-control-findings.md).

### Exigences du CIS qui ne sont pas prises en charge dans Security Hub CSPM
<a name="securityhub-standards-cis-checks-not-supported"></a>

Comme indiqué dans le tableau précédent, Security Hub CSPM ne prend pas en charge toutes les exigences du CIS dans toutes les versions du CIS AWS Foundations Benchmark. La plupart des exigences non prises en charge ne peuvent être évaluées qu'en examinant manuellement l'état de vos AWS ressources.

# NIST SP 800-53, révision 5 dans Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

La publication spéciale 800-53 révision 5 du NIST (NIST SP 800-53 Rev. 5) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit un catalogue des exigences de sécurité et de confidentialité pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des ressources critiques. Les agences du gouvernement fédéral américain et les sous-traitants doivent se conformer à ces exigences pour protéger leurs systèmes et leurs organisations. Les organisations privées peuvent également utiliser volontairement les exigences comme cadre directeur pour réduire les risques de cybersécurité. Pour plus d'informations sur le framework et ses exigences, consultez le [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) dans le *NIST Computer* Security Resource Center.

AWS Security Hub CSPM fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-53 Revision 5. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-53 Revision 5 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-53 révision 5 qui nécessitent des vérifications manuelles.

Contrairement à d'autres frameworks, le framework NIST SP 800-53 Revision 5 n'est pas prescriptif quant à la manière dont ses exigences doivent être évaluées. Le cadre fournit plutôt des directives. Dans Security Hub CSPM, la norme NIST SP 800-53 Revision 5 et les contrôles reflètent la compréhension de ces directives par le service.

**Topics**
+ [Configuration de l'enregistrement des ressources pour la norme](#standards-reference-nist-800-53-recording)
+ [Déterminer quels contrôles s'appliquent à la norme](#standards-reference-nist-800-53-controls)

## Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
<a name="standards-reference-nist-800-53-recording"></a>

Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-53 Revision 5 dans AWS Security Hub CSPM. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Cela concerne principalement les contrôles dotés d'un type de calendrier *déclenché par des modifications*. Toutefois, certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Si l'enregistrement des ressources n'est pas activé ou configuré correctement, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles qui s'appliquent à la norme.

Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.

Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-53 Revision 5 dans Security Hub CSPM.


| Service AWS | Types de ressources | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  Gestion des identités et des accès AWS (JE SUIS)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Déterminer quels contrôles s'appliquent à la norme
<a name="standards-reference-nist-800-53-controls"></a>

La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-53 Revision 5 et s'appliquent à la norme NIST SP 800-53 Revision 5 dans Security Hub AWS CSPM. Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ **Exigences connexes** dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) 
+  [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1) 
+  [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6) 
+  [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7) 
+  [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8) 
+  [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9) 
+  [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10) 
+  [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11) 
+  [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1) 
+  [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) 
+  [[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos](ec2-controls.md#ec2-3) 
+  [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4) 
+  [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7) 
+  [[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé](ec2-controls.md#ec2-12) 
+  [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15) 
+  [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16) 
+  [[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18) 
+  [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19) 
+  [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20) 
+  [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24) 
+  [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25) 
+  [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28) 
+  [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1) 
+  [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2) 
+  [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3) 
+  [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1) 
+  [[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2) 
+  [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3) 
+  [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4) 
+  [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) 
+  [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8) 
+  [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9) 
+  [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17) 
+  [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2) 
+  [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3) 
+  [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4) 
+  [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) 
+  [[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1) 
+  [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) 
+  [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3) 
+  [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) 
+  [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4) 
+  [[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée](elb-controls.md#elb-5) 
+  [[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6) 
+  [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7) 
+  [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-9) 
+  [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12) 
+  [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13) 
+  [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14) 
+  [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) 
+  [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) 
+  [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2) 
+  [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3) 
+  [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4) 
+  [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1) 
+  [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) 
+  [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3) 
+  [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) 
+  [[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5) 
+  [[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6) 
+  [[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7) 
+  [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8) 
+  [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2) 
+  [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 
+  [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 
+  [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) 
+  [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 
+  [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) 
+  [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 
+  [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7) 
+  [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 
+  [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21) 
+  [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2) 
+  [[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3) 
+  [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) 
+  [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) 
+  [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2) 
+  [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1) 
+  [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2) 
+  [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3) 
+  [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6) 
+  [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3) 
+  [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6) 
+  [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10) 
+  [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 
+  [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5) 
+  [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6) 
+  [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) 
+  [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1) 
+  [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 
+  [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3) 
+  [[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4) 
+  [[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5) 
+  [[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS](rds-controls.md#rds-6) 
+  [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7) 
+  [[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8) 
+  [[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] L'authentification IAM doit être configurée pour les instances RDS](rds-controls.md#rds-10) 
+  [[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11) 
+  [[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12) 
+  [[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13) 
+  [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14) 
+  [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) 
+  [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) 
+  [[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17) 
+  [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20) 
+  [[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21) 
+  [[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22) 
+  [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23) 
+  [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24) 
+  [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25) 
+  [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26) 
+  [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27) 
+  [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35) 
+  [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45) 
+  [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3) 
+  [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2) 
+  [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) 
+  [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) 
+  [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) 
+  [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) 
+  [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) 
+  [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 
+  [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) 
+  [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9) 
+  [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) 
+  [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) 
+  [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) 
+  [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) 
+  [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14) 
+  [[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15) 
+  [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19) 
+  [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) 
+  [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1) 
+  [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 
+  [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2) 
+  [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3) 
+  [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1) 
+  [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) 
+  [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) 
+  [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) 
+  [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) 
+  [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) 
+  [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) 
+  [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) 
+  [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11) 
+  [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171, révision 2 dans Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

La publication spéciale 800-171 révision 2 du NIST (NIST SP 800-171 Rev. 2) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit des exigences de sécurité recommandées pour protéger la confidentialité des informations contrôlées non classifiées dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. *Les informations contrôlées non classifiées*, également appelées *CUI*, sont des informations sensibles qui ne répondent pas aux critères de classification gouvernementaux mais qui doivent être protégées. Il s'agit d'informations considérées comme sensibles créées ou détenues par le gouvernement fédéral américain ou d'autres entités pour le compte du gouvernement fédéral américain.

Le NIST SP 800-171 Rev. 2 fournit des exigences de sécurité recommandées pour protéger la confidentialité du CUI lorsque :
+ Les informations se trouvent dans des systèmes et des organisations non fédéraux,
+ L'organisation non fédérale ne collecte ni ne conserve d'informations pour le compte d'un organisme fédéral, ni n'utilise ou n'exploite un système pour le compte d'un organisme, et 
+ Il n'existe aucune exigence de sauvegarde spécifique pour protéger la confidentialité des CUI prescrite par la loi habilitante, la réglementation ou la politique gouvernementale pour la catégorie CUI répertoriée dans le registre CUI. 

Les exigences s'appliquent à tous les composants des systèmes et organisations non fédéraux qui traitent, stockent ou transmettent les CUI, ou fournissent une protection de sécurité pour les composants. Pour plus d'informations, consultez le [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) dans le centre de ressources sur la sécurité *informatique du NIST.*

AWS Security Hub CSPM fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-171 Revision 2. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-171 Revision 2 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-171 révision 2 qui nécessitent des vérifications manuelles.

**Topics**
+ [Configuration de l'enregistrement des ressources pour la norme](#standards-reference-nist-800-171-recording)
+ [Déterminer quels contrôles s'appliquent à la norme](#standards-reference-nist-800-171-controls)

## Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
<a name="standards-reference-nist-800-171-recording"></a>

Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-171 Revision 2 dans AWS Security Hub CSPM. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme.

Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.

Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub CSPM.


| Service AWS | Types de ressources | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| Gestion des identités et des accès AWS(JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Déterminer quels contrôles s'appliquent à la norme
<a name="standards-reference-nist-800-171-controls"></a>

La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-171 Revision 2 et s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub AWS CSPM. Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ **Exigences connexes** dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
+ [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18)
+ [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
+ [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6)
+ [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14)
+ [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)

# PCI DSS dans Security Hub CSPM
<a name="pci-standard"></a>

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre de conformité tiers qui fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le Conseil des normes de sécurité PCI (SSC) crée et met à jour ce cadre.

AWS Security Hub CSPM fournit une norme PCI DSS qui peut vous aider à rester en conformité avec ce framework tiers. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les AWS ressources qui traitent les données des titulaires de cartes. Nous recommandons d'activer cette norme dans les Comptes AWS cas où des ressources stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles. Les évaluations réalisées par le PCI SSC ont validé cette norme.

Security Hub CSPM prend en charge les normes PCI DSS v3.2.1 et PCI DSS v4.0.1. Nous vous recommandons d'utiliser la version 4.0.1 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer les deux versions de la norme en même temps. Pour plus d'informations sur les normes habilitantes, voir[Mise en place d'une norme de sécurité](enable-standards.md). Si vous utilisez actuellement la version 3.2.1 mais que vous souhaitez utiliser uniquement la version 4.0.1, activez la version la plus récente avant de désactiver l'ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 4.0.1 sur plusieurs comptes, nous vous recommandons d'utiliser une [configuration centralisée](central-configuration-intro.md) pour ce faire.

Les sections suivantes indiquent les contrôles qui s'appliquent aux normes PCI DSS v3.2.1 et PCI DSS v4.0.1.

## Contrôles applicables à la norme PCI DSS v3.2.1
<a name="pci-controls"></a>

La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v3.2.1. Pour consulter les détails d'un contrôle, choisissez-le.

 [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) 

 [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1) 

 [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1) 

 [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) 

 [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé](ec2-controls.md#ec2-12) 

 [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1) 

 [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) 

 [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) 

 [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) 

 [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) 

 [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) 

 [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) 

 [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) 

 [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) 

 [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) 

 [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) 

 [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3) 

 [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) 

 [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) 

 [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) 

 [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) 

 [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) 

 [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) 

 [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) 

 [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) 

 [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) 

 [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) 

 [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) 

## Contrôles applicables à la norme PCI DSS v4.0.1
<a name="pci4-controls"></a>

La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v4.0.1. Pour consulter les détails d'un contrôle, choisissez-le.

[[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)

[[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)

[[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)

[[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)

[[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)

[[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)

[[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)

[[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)

[[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)

[[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)

[[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)

[[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)

[[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)

[[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15)

[[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)

[[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)

[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)

[[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)

[[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)

[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)

[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)

[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)

[[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)

[[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)

[[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2)

[[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)

[[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)

[[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1)

[[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)

[[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)

[[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)

[[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)

[[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)

[[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4)

[[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)

[[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)

[[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)

[[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)

[[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)

[[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5)

[[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8)

[[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)

[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)

[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)

[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)

[[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)

[[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)

[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)

[[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)

[[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)

[[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)

[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)

[[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)

[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)

[[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)

[[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)

[[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)

[[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)

[[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)

[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)

[[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)

[[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2)

[[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3)

[[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)

[[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)

[[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)

[Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)

[[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)

[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)

[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20)

[[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21)

[[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22)

[[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)

[[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)

[[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)

[[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)

[[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)

[[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)

[[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)

[[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)

[[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)

[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)

[[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15)

[[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)

[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)

[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)

[[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)

[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)

[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)

[[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)

[[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)

[[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)

[[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)

[[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11)

# Normes de gestion des services dans Security Hub CSPM
<a name="service-managed-standards"></a>

Une norme gérée par un service est une norme de sécurité Service AWS gérée par un autre, mais que vous pouvez consulter dans Security Hub CSPM. Par exemple, [Service-Managed Standard : AWS Control Tower est une norme gérée](service-managed-standard-aws-control-tower.md) par les services qui gère. AWS Control Tower Une norme gérée par les services diffère d'une norme de sécurité gérée par AWS Security Hub CSPM des manières suivantes :
+ **Création et suppression d'une norme** : vous créez et supprimez une norme gérée par un service à l'aide de la console ou de l'API du service de gestion, ou à l'aide du. AWS CLI Tant que vous n'avez pas créé la norme dans le service de gestion de l'une de ces manières, la norme n'apparaît pas dans la console Security Hub CSPM et n'est pas accessible via l'API Security Hub CSPM ou. AWS CLI
+ **Aucune activation automatique des contrôles** : lorsque vous créez une norme gérée par un service, Security Hub CSPM et le service de gestion n'activent pas automatiquement les contrôles qui s'appliquent à la norme. En outre, lorsque Security Hub CSPM publie de nouvelles commandes pour la norme, elles ne sont pas automatiquement activées. Il s'agit d'une dérogation aux normes gérées par Security Hub CSPM. Pour plus d'informations sur le mode habituel de configuration des contrôles dans Security Hub CSPM, consultez. [Comprendre les contrôles de sécurité dans Security Hub CSPM](controls-view-manage.md)
+ **Activation et désactivation des contrôles** : nous recommandons d'activer et de désactiver les contrôles dans le service de gestion pour éviter toute dérive.
+ **Disponibilité des contrôles** — Le service de gestion choisit les contrôles disponibles dans le cadre de la norme de gestion des services. Les contrôles disponibles peuvent inclure la totalité ou un sous-ensemble des contrôles CSPM existants du Security Hub.

Une fois que le service de gestion a créé la norme gérée par le service et mis à disposition des contrôles pour celle-ci, vous pouvez accéder aux résultats de vos contrôles, à l'état des contrôles et au score de sécurité standard dans la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Certaines ou toutes ces informations peuvent également être disponibles dans le service de gestion.

Sélectionnez une norme gérée par des services dans la liste suivante pour obtenir plus de détails à ce sujet.

**Topics**
+ [

# Norme de gestion des services : AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Norme de gestion des services : AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Cette section fournit des informations sur Service-Managed Standard :. AWS Control Tower

## Qu'est-ce que Service-Managed Standard : ? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Norme gérée par les services : AWS Control Tower norme gérée par les services qui AWS Control Tower gère et prend en charge un sous-ensemble de contrôles Security Hub. Cette norme est conçue pour les utilisateurs de AWS Security Hub CSPM et. AWS Control Tower Il vous permet de configurer les contrôles de détection du Security Hub CSPM à partir du AWS Control Tower service.

Les contrôles Detective détectent la non-conformité des ressources (par exemple, les erreurs de configuration) au sein de votre. Comptes AWS

**Astuce**  
Les normes de gestion des services diffèrent des normes gérées par AWS Security Hub CSPM. Par exemple, vous devez créer et supprimer une norme gérée par un service dans le service de gestion. Pour de plus amples informations, veuillez consulter [Normes de gestion des services dans Security Hub CSPM](service-managed-standards.md).

Lorsque vous activez un contrôle Security Hub CSPM via AWS Control Tower, Control Tower active également le Security Hub CSPM pour vous dans ces comptes et régions spécifiques, s'il n'est pas déjà activé. Dans la console et l'API Security Hub CSPM, vous pouvez consulter Service-Managed Standard : ainsi que les autres normes CSPM du AWS Control Tower Security Hub, une fois la norme activée depuis. AWS Control Tower

Pour plus d'informations sur cette norme, consultez la section [Contrôles CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) dans le guide de l'*AWS Control Tower utilisateur*.

## Création de la norme
<a name="aws-control-tower-standard-creation"></a>

Cette norme n'est disponible dans Security Hub CSPM que si vous activez les contrôles Security Hub CSPM depuis. AWS Control Tower AWS Control Tower crée la norme lorsque vous activez pour la première fois un contrôle applicable en utilisant l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)commande)

Lorsque vous activez un contrôle Security Hub CSPM via AWS Control Tower, si vous n'avez pas encore activé Security Hub CSPM, il active également le AWS Control Tower Security Hub CSPM pour vous dans ces comptes et régions spécifiques.

Pour identifier un contrôle Security Hub CSPM par ID de contrôle dans Control Catalog, vous pouvez utiliser le champ `Implementation.Identifier` dans. AWS Control Tower Ce champ correspond à l'ID de contrôle Security Hub CSPM et peut être utilisé pour filtrer un ID de contrôle spécifique. Pour récupérer les métadonnées de contrôle pour un contrôle Security Hub CSPM spécifique (par exemple, « CodeBuild .1") dans AWS Control Tower, vous pouvez utiliser l'API : [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Vous ne pouvez pas consulter ou accéder à cette norme dans la console Security Hub CSPM, dans l'API Security Hub CSPM, ou AWS CLI sans avoir préalablement configuré et activé les contrôles AWS Control Tower Security Hub CSPM à l' AWS Control Tower aide de l'une des méthodes précédentes.

Cette norme n'est disponible que [Régions AWS là où elle AWS Control Tower est disponible](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).

## Activation et désactivation des commandes dans le standard
<a name="aws-control-tower-standard-managing-controls"></a>

Une fois que vous avez activé les contrôles Security Hub CSPM AWS Control Tower et que le Service Managed Standard : AWS Control Tower standard a été créé, vous pouvez consulter le standard et les contrôles disponibles dans Security Hub CSPM.

Lorsque Security Hub CSPM ajoute de nouvelles commandes au Service Managed Standard : AWS Control Tower standard, elles ne sont pas automatiquement activées pour les clients qui ont activé la norme. Vous devez activer et désactiver les commandes pour le formulaire standard en AWS Control Tower utilisant l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez le [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)et [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (exécutez les [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)commandes [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)et)

Lorsque vous modifiez le statut d'activation d'un contrôle dans AWS Control Tower, le changement est également reflété dans Security Hub CSPM.

Cependant, la désactivation d'un contrôle activé dans Security Hub CSPM AWS Control Tower entraîne une dérive du contrôle. L'état du contrôle AWS Control Tower apparaît sous la forme`Drifted`. Vous pouvez résoudre cette dérive en utilisant l'[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API pour réinitialiser le contrôle qui est en dérive, en sélectionnant [Ré-enregistrer l'OU dans la AWS Control Tower console, ou](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) en désactivant et réactivant le contrôle à l' AWS Control Tower aide de l'une des méthodes précédentes.

L'exécution des actions d'activation et de désactivation vous AWS Control Tower permet d'éviter toute dérive de contrôle.

Lorsque vous activez ou désactivez les contrôles dans AWS Control Tower, l'action s'applique à tous les comptes et régions régis par AWS Control Tower. Si vous activez et désactivez les contrôles dans Security Hub CSPM (ce n'est pas recommandé pour cette norme), l'action s'applique uniquement au compte et à la région actuels.

**Note**  
[La configuration centrale](central-configuration-intro.md) ne peut pas être utilisée pour gérer Service-Managed Standard :. AWS Control Tower Vous *ne* pouvez utiliser le AWS Control Tower service que pour activer et désactiver les contrôles dans cette norme.

## Affichage de l'état d'activation et de l'état du contrôle
<a name="aws-control-tower-standard-control-status"></a>

Vous pouvez consulter le statut d'activation d'un contrôle à l'aide de l'une des méthodes suivantes :
+ console Security Hub CSPM, API Security Hub CSPM ou AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API pour voir la liste des contrôles activés (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI pour voir la liste des contrôles activés (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)commande)

Un contrôle que vous désactivez AWS Control Tower a le statut d'activation `Disabled` dans Security Hub CSPM, sauf si vous activez explicitement ce contrôle dans Security Hub CSPM.

Security Hub CSPM calcule l'état du contrôle en fonction de l'état du flux de travail et de l'état de conformité des résultats du contrôle. Pour plus d'informations sur le statut d'activation et le statut du contrôle, consultez[Examiner les détails des contrôles dans Security Hub CSPM](securityhub-standards-control-details.md).

Sur la base des états de contrôle, Security Hub CSPM calcule un [score de sécurité](standards-security-score.md) pour Service-Managed Standard :. AWS Control Tower Ce score n'est disponible que dans Security Hub CSPM. En outre, vous ne pouvez consulter les [résultats des contrôles](controls-findings-create-update.md) que dans Security Hub CSPM. Le score de sécurité standard et les résultats des contrôles ne sont pas disponibles dans AWS Control Tower.

**Note**  
Lorsque vous activez les contrôles pour Service-Managed Standard : AWS Control Tower, Security Hub CSPM peut mettre jusqu'à 18 heures pour générer les résultats des contrôles qui utilisent une règle liée à un service existante. AWS Config Vous disposez peut-être de règles liées aux services si vous avez activé d'autres normes et contrôles dans Security Hub CSPM. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).

## Supprimer le standard
<a name="aws-control-tower-standard-deletion"></a>

Vous pouvez supprimer cette norme de gestion de services en AWS Control Tower désactivant tous les contrôles applicables à l'aide de l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)commande)

La désactivation de tous les contrôles entraîne la suppression de la norme dans tous les comptes gérés et régions gouvernées dans. AWS Control Tower La suppression du standard dans le AWS Control Tower supprime de la page **Standards** de la console Security Hub CSPM, et vous ne pouvez plus y accéder à l'aide de l'API Security Hub CSPM ou. AWS CLI

**Note**  
 La désactivation de toutes les commandes de la norme dans Security Hub CSPM ne désactive ni ne supprime la norme. 

La désactivation du service Security Hub CSPM supprime Service-Managed Standard : AWS Control Tower et toutes les autres normes que vous avez activées.

## Recherche du format de champ pour Service-Managed Standard : AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Lorsque vous créez un Service Managed Standard AWS Control Tower et que vous activez les contrôles correspondants, vous commencez à recevoir les résultats des contrôles dans Security Hub CSPM. Security Hub CSPM publie les résultats des contrôles dans le. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) Voici les valeurs ASFF pour le nom de ressource Amazon (ARN) de cette norme et `GeneratorId` :
+ **ARN standard** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Pour un exemple de recherche pour Service-Managed Standard : AWS Control Tower, voir. [Échantillons de résultats de contrôle](sample-control-findings.md)

## Contrôles applicables à la norme de gestion des services : AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Norme gérée par les services : AWS Control Tower prend en charge un sous-ensemble de contrôles qui font partie de la norme FSBP ( AWS Foundational Security Best Practices). Choisissez un contrôle pour consulter les informations le concernant, y compris les étapes de correction en cas d'échec des résultats.

Pour savoir quels contrôles Security Hub CSPM sont pris en charge AWS Control Tower, vous pouvez utiliser l'une des méthodes suivantes :
+ AWS Console Control Catalog dans laquelle vous pouvez filtrer pour `“Control owner = AWS Security Hub”`
+ AWS API Control Catalog (appelez l'[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) avec filtre `Implementations` pour `Types` vérifier si `AWS::SecurityHub::SecurityControl`
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)commande) avec un filtre pour`Implementations`. Exemple de commande CLI :

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Les limites régionales des contrôles Security Hub CSPM lorsqu'ils sont activés via la norme Control Tower peuvent ne pas correspondre aux limites régionales des contrôles sous-jacents.

Dans Security Hub CSPM, si les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings) sont désactivés dans votre compte, le `ProductFields.ControlId` champ des résultats générés utilise l'ID de contrôle standard. **L'ID de contrôle standard est formaté au format CT. *ControlId***(par exemple, **CT. CodeBuild**.1).

Pour plus d'informations sur cette norme, consultez la section [Contrôles CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) dans le guide de l'*AWS Control Tower utilisateur*.